(#Formación) Cambios en el reglamento de protección de datos que afectan los registros de morosos

En los últimos años ha habido una serie de resoluciones y sentencias del Tribunal de Justicia de la Unión Europea que han llevado al Tribunal Supremo a modificar sustancialmente ciertos artículos del rigorista Reglamento de Protección de datos promulgado por el Real Decreto 1720/2007, de 21 de diciembre. No obstante la legislación española de protección de datos sigue siendo muy proteccionista con los deudores.

Una legislación muy rigorista para los registros de morosidad

En España existe una legislación muy garantista para el ciudadano y unos mecanismos sancionadores para las inclusiones irregulares de personas en los ficheros de morosos. Este tipo de registros de morosidad denominados legalmente “ficheros de información de solvencia patrimonial y crédito” quedan regulados en el artículo 29 de la Ley Orgánica de Protección de Datos de Carácter Personal (Ley 15/1999, de 13 de diciembre (LOPD). Además las normas que fija la LOPD vienen complementadas por los artículos 37 al 44 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre (a partir de ahora RLOPD) . Asimismo hay que tener en cuenta la Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos (AEPD), relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, relativa a la calidad y seguridad de los datos incluidos que regula de forma directa los registros de morosos o ficheros de morosidad.

La Agencia Española de Protección de Datos (AEPD) fue creada para que tutele los derechos de los afectados, y es el organismo que impone, en su caso, las sanciones correspondientes a los responsables del fichero, que en teoría pueden llegar a los 600.000 euros. Como botón de muestra, en el año 2010 la AEPD impuso sanciones por la inclusión irregular en registros de morosidad por valor de 9,2 millones de euros y algunas sanciones fueron de hasta 400.000 euros. Además el Tribunal Supremo ha reconocido a través de su doctrina jurisprudencial el daño moral indemnizable que supone al perjudicado figurar en un fichero de moroso de forma ilícita y los afectados tienen derecho a reclamar una indemnización.

Las sentencias del Tribunal de Justicia de la Unión Europea y del Supremo para flexibilizar la legislación de protección de datos en materia de registros de morosidad

En apoyo de la afirmación que la legislación española de protección de datos es excesivamente garantista y favorece al moroso, vamos a repasar por orden cronológica varias resoluciones del Tribunal de Justicia de la Unión Europea (TJUE) y sentencias del Tribunal Supremo que incluso han anulado diversos artículos del RLOPD por ser considerados excesivamente rigoristas en materia de protección de datos de los deudores.

Primero

En primer lugar tenemos el dictamen del Tribunal de Justicia de la Unión Europea de noviembre de 2006 que concluyó que un sistema de intercambio de información sobre el crédito, como el registro de morosidad de Asnef-Equifax, no tiene por qué restringir la competencia, siempre y cuando el mercado no esté fuertemente concentrado, que no se identifique a los acreedores y que el acceso no sea discriminatorio.

Segundo

En segundo lugar una sentencia de 15 de julio de 2010, de la sección sexta de la Sala de lo Contencioso-Administrativo del Tribunal Supremo, que afectan directamente a diversos artículos del RLOPD y que responden a una serie de impugnaciones planteadas por empresas que prestan servicios de gestión de información sobre solvencia patrimonial y registros de morosidad. Un punto clave de la sentencia del TS es la anulación de ciertos apartados del artículo 38 del RLOPD. A pesar del gran número de artículos impugnados, la Sala de lo Contencioso-Administrativo del Tribunal Supremo únicamente estimó la anulación de los artículos 11, 18, 38.1, 38.2 y 123.2 del RLOPD.

La Sentencia de 15 de julio de 2010, de la Sala Tercera del Tribunal Supremo también ha invalidado el Artículo 38.2. del RD 1720/2007 (RLOPD) referente a los requisitos para la inclusión de los datos en un registro de morosidad. Esta Sentencia del TS ha anulado el siguiente apartado:

“No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores. Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero”.

El Tribunal Supremo al anular esta parte del RLOPD otorga la razón a los que presentaron recurso contra el artículo 38 basándose en el fundamento de derecho que si bien la prueba indiciaria es una prueba admitida en derecho, no es equiparable a la prueba de presunciones y que el artículo en cuestión tenía una redacción que no permitía concretar qué principio de prueba exige, o sea documental, pericia o testifical, junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, lo que originaba una inseguridad jurídica que debía corregirse por el Tribunal.

No obstante, todo ello no impide que la Agencia Española de Protección de Datos (AEPD) sancione a aquellos acreedores que conociendo la presentación de una demanda judicial no hayan accedido a la inmediata cancelación de los datos incluidos en un registro de morosos o por el contrario, la AEPD haya archivado las actuaciones iniciadas en un procedimiento sancionador en aquellos casos en los que no se ha podido probar que se había notificado al acreedor la demanda o el inicio del procedimiento administrativo ante la Secretaría de Estado de Telecomunicaciones y para la Sociedad de Información SETSI.

Tercero

En tercer lugar tenemos una sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011, que dio la razón a las empresas que gestionan los registros de morosos en España. Las sociedades que gestionan los registros de mora siempre se han quejado respecto a que la legislación española sobre protección de datos es excesivamente rigorista, y que dificulta la lucha contra los deudores profesionales porque reglamentariamente impide el procesamiento de informaciones personales sin el consentimiento del afectado. La Asociación Española de Establecimientos Financieros de Crédito (Asnef), que gestiona el registro de morosos Asnef- Equifax, la Federación de Comercio Electrónico y Marketing Directo (Fecemd) y otras empresas de telecomunicaciones interpusieron un recurso ante el Tribunal Supremo español alegando que las disposiciones más restrictivas de la normativa española vulneraban la legislación comunitaria. En particular el recurso fue contra determinado contenido del artículo 10 del RLOPD; este artículo solo permitía el tratamiento de datos sin consentimiento del interesado cuando los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.

Cuarto

En cuarto lugar la Sección Sexta de la Sala Tercera de lo Contencioso-Administrativo del Tribunal Supremo, mediante sentencia de 8 de febrero de 2012, adaptó al derecho español la resolución del Tribunal de Justicia de la Unión Europea de 24 de noviembre, al que había planteado cuestión prejudicial, y anuló el artículo 10.2.b) del RLOPD, que traspone el artículo 7 de la Directiva de protección de datos, relativo a los criterios que legitiman los tratamientos de datos. El Tribunal Supremo mediante su sentencia anuló el artículo 10.2.b del citado Real Decreto, reconociendo el efecto directo del artículo artículo 7.f de la Directiva europea 95/46/CE. Dicho artículo establece dos requisitos acumulativos para que un tratamiento de datos de carácter personal sea licito; que el tratamiento sea necesario para la satisfacción de un interés legitimo perseguido por el responsable del tratamiento o por el tercer al que se comuniquen los datos y, que los derechos y libertades fundamentales del interesado no se vean afectados; exigiéndose una ponderación de los interés y derechos en conflicto, atendiendo a las circunstancia concretas del caso que se trate, teniéndose siempre en cuenta los derecho que los artículos 7 y 8 de la Carta de Derechos Fundamentales de la Unión Europea confieren al interesado. No obstante la problemática surge de la interpretación del concepto “interés legítimo”, concepto jurídico indeterminado, que deberá contextualizarse en cada caso, puesto que no existe ni a nivel comunitario ni a nivel español posicionamiento alguno por parte del legislador sobre el modo en que ha de interpretarse la existencia de un “interés legítimo” del responsable del fichero que le permita el tratamiento de los datos sin necesidad de recabar el consentimiento de los interesados. Consecuentemente la sentencia del Supremo no abre la puerta al uso indiscriminado de los datos, ya que en todo momento rigen los principios de seguridad jurídica recogidos en la LOPD y en la Directiva Europea.

Conclusiones sobre el marco legal de protección de datos

Por una parte no se ha derivado una alteración sustancial del marco vigente de protección de los datos personales en España y por otra el fallo del Tribunal no ha comportado una merma en el grado de protección de los derechos de los ciudadanos. Si bien es cierto que puede realizarse el tratamiento de datos personales que no figuran en fuentes accesibles al público sin el consentimiento del afectado, debe realizarse en cada caso una ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Si realizada esa ponderación prevalece el interés del responsable, podrán tratarse los datos sin consentimiento; si prevalecen los derechos afectados del interesado, no se podrá. La APED ya se pronunció tras la sentencia en el sentido que será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto para decidir sobre la legitimidad del tratamiento y de que se va a tener en cuenta el hecho de que los datos figuren en fuentes accesibles al público como criterio de ponderación.