APD Y ENTIDADES DE CREDITO

Anuncio
Las Instrucciones de la Agencia y las Entidades de Crédito
Autor: José Cuervo
Fuente: informatica-juridica.com
ÍNDICE
INTRODUCCIÓN
1. PODER NORMATIVO DE LA AGENCIA DE PROTECCIÓN DE DATOS
2. EL ARTICULO 28 DE LA LORTAD
1. LOS FICHEROS DE MOROSOS
1. IMPORTANCIA DE LOS FICHEROS DE MOROSOS
2. JUSTIFICACIÓN DE LA AUSENCIA DEL PREVIO
CONSENTIMIENTO
3. EL TRIBUNAL DE DEFENSA DE LA COMPETENCIA Y
LOS REGISTROS DE MOROSOS
4. ANÁLISIS DE ALGUNOS REGISTROS DE MOROSOS
1. Registro de Aceptaciones Impagadas (R.A.I.)
2. Asociación Nacional de Entidades de
Financiación (ASNEF)
3. Bdl
5. FICHEROS DEL ACREEDOR Y FICHEROS COMUNES
2. LOS FICHEROS DE INFORMACIÓN SOBRE SOLVENCIA
PATRIMONIAL Y EL CRÉDITO
1. LA PROBLEMÁTICA DE LOS DATOS RECOGIDOS DE
FUENTES ACCESIBLES AL PÚBLICO
3. LAS INSTRUCCIONES DE LA AGENCIA DE PROTECCIÓN DE DATOS
Y LAS ENTIDADES FINANCIERAS
1. CONSIDERACIÓN DE ENTIDAD FINANCIERA
2. LA INSTRUCCIÓN 1/1995, DE 1 DE MARZO
1. CALIDAD DE LOS DATOS
2. CANCELACIÓN Y RECTIFICACIÓN. LA PROBLEMÁTICA
DEL SALDO "0"
3. RESPONSABLE DEL FICHERO
4. AUDITORIAS
5. CESIONES DE DATOS
1. Cesiones de datos entre empresas de un mismo
Grupo
2. Servicio de recobro de deudas contratando a
empresas externas
3. Cesiones de datos a empresas de suministro de
electricidad
4. CENTRAL DE INFORMACIÓN DE RIESGOS
5. LA INSTRUCCIÓN 2/1995, DE 4 DE MAYO
6. CONCLUSIÓN
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
1
INTRODUCCIÓN
El título VI de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del
Tratamiento automatizado de los Datos de Carácter Personal, configura la Agencia de
Protección de Datos como un Ente independiente que debe garantizar el cumplimiento de
las previsiones y mandatos en ella establecidos.
Algunos aspectos de la Agencia han sido objeto de Regulación en la propia Ley, en
los artículos 34º a 41º, otros en virtud de mandato al Gobierno, de conformidad con lo
dispuesto en el artículo 34.2 y de la disposición final 1ª, han tenido su reflejo en el Real
Decreto 428/1993, de 26 de marzo por el que se aprueba el Estatuto de la Agencia de
Protección de Datos y en el Real Decreto 156/1996 de 2 de febrero por el que se modifica
el Estatuto de la Agencia de Protección de Datos, designándola como representante
español en el grupo de protección de las personas previsto en la Directiva 95/46/CE y, en
defecto de estas normas para el ejercicio de sus funciones públicas, se rigen por las
normas de procedimiento contenidas en la Ley 30/1992, de 26 de noviembre, de Régimen
Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y por
los preceptos de la Ley General Presupuestaria, texto refundido aprobado por Real
Decreto Legislativo 1091/1988, de 23 de septiembre, que resulten de aplicación.
Entre las funciones encomendadas a la Agencia de Protección de Datos (en
adelante, Agencia), tanto en el artículo 36º de la LORTAD como en el 5º del RD.
428/1993, nos interesa destacar para el trabajo a desarrollar:
a) el papel consultivo
b) el reconocimiento de una potestad propia de dictar reglas de carácter general.
El papel consultivo faculta a la Agencia a colaborar con los órganos competentes
en lo que respecta al desarrollo normativo y aplicación de las normas que incidan en
materia propia de la LORTAD, asimismo, informará preceptivamente cualesquiera
proyectos de ley o reglamentos que incidan en la materia propia de la LORTAD.
La potestad de dictar reglas se refleja de dos maneras:
1.- Dictando instrucciones y recomendaciones precisas para adecuar los tratamientos
automatizados a los principios de la LORTAD.
2.- Dictando recomendación de aplicación de las disposiciones legales y reglamentarias en
materia de seguridad de los datos y control de acceso a los ficheros.
El objetivo que se pretende con este trabajo, es analizar en primer lugar el
reconocimiento de un poder normativo propio en favor de la Agencia, en segundo lugar
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
2
analizar el artículo 28º y los ficheros de morosos de la LORTAD y por último comentar los
instrucciones de la Agencia que afectan a las entidades financieras.
1. PODER NORMATIVO DE LA AGENCIA DE PROTECCIÓN DE DATOS
Esta potestad normativa no incide solamente en el ámbito del ordenamiento
jurídico del Estado, sino que, posee una gran trascendencia en el ámbito del
ordenamiento jurídico de las distintas Comunidades Autónomas, respecto a los ficheros
automatizados de datos gestionados por las mismas y así lo podemos comprobar con la
Ley 13/1995, de 21 abril, de Regulación del uso de la informática en el Tratamiento de
Datos Personales por la Comunidad de Madrid que en su artículo 28, regula las
atribuciones y funciones de la Agencia de Protección de Datos de la Comunidad de Madrid,
entre las que se refleja entre otras la de dictar, en su caso y sin perjuicio de las
competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos
automatizados a los principios de esta Ley.
De acuerdo con el artículo 40.1 de la LORTAD en el que se establece que las
funciones de la Agencia de Protección de Datos reguladas en el artículo 36, a excepción
de las mencionadas en los apartados j), k) y l) y en los apartados f) y g) en lo que se
refiere a las transferencias internacionales de datos, así como en los artículos 45 y 48, en
relación con sus específicas competencias, serán ejercidas, cuando afecten a ficheros
automatizados de datos de carácter personal creados o gestionados por las Comunidades
Autónomas, por los órganos correspondientes de cada Comunidad, a los que se
garantizará plena independencia y objetividad en el ejercicio de su contenido, podemos
observar que las funciones de la Agencia reguladas en el artículo 36º de la LORTAD serán
ejercidas cuando afecten a ficheros automatizados de datos de carácter personal creados
o gestionados por las Comunidades Autónomas, por los órganos correspondientes a cada
Comunidad a excepción entre otros de: velar por la publicidad de la existencia de los
ficheros automatizados de datos de carácter personal, con publicación de una relación de
dichos ficheros, redactar la Memoria anual, ejercer el control y adoptar las autorizaciones
que procedan en relación con los movimientos internacionales de datos, así como
desempeñar las funciones de cooperación internacional en materia de protección de
datos.
Debemos tener en cuenta que el artículo 40.1 de la LORTAD está pendiente de
recurso de inconstitucionalidad presentado por el Consejo Ejecutivo de la Generalidad de
Cataluña y por el Parlamento Catalán que deberá resolver el Tribunal Constitucional.
De acuerdo con el trabajo de MARROIG POL hay que determinar si la potestad de
la Agencia se trata del reconocimiento de una potestad normativa (reglamentaria) o de
una potestad meramente técnico-interpretativa.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
3
Entendemos por potestad reglamentaria, aquella que implica dictar disposiciones
reguladoras de aspectos no recogidos por la Ley..., en la medida que con el ejercicio de la
potestad reglamentaria se llenan vacíos normativos que el legislador, por su importancia
secundaria, ha considerado conveniente que no estén en la Ley.
Por otra parte la "potestad interpretadora se ejercita por el aplicador del Derecho
precisamente en fase de aplicación del mismo".
"Con base en la habilitación legal referenciada, cabe concluir que la Agencia puede
dictar normas que incidan tanto en la fase de creación del Derecho como en la fase de
aplicación". En el primer caso nos encontramos con las denominadas Instrucciones, que
constituyen, verdaderas normas reglamentarias; en el segundo caso nos encontraríamos
con las Recomendaciones.
"Hay que advertir que la potestad normativa reconocida a favor de la Agencia, a
través de las Instrucciones, se base en una expresa y concreta habilitación legal y no
puede entenderse como una deslegalización".
Cumplida la condición de expresa autorización legal que tiene la Agencia
determinaremos una segunda condición de carácter formal, siguiendo el mismo trabajo de
MARROIG POL, que es la relativa a su elaboración. En este sentido podemos determinar
dos deficiencias.
"En primer lugar, no parece que se haya acudido al mecanismo de consulta
previsto en el artículo 10.6 de la Ley de Régimen Jurídico de la Administración del Estado,
a saber, la exigencia de dictamen del Consejo de Estado".
"En segundo lugar, parece haberse obviado la fundamental previsión recogida en el
artículo 105,a) de la Constitución que dispone, preceptivamente, la audiencia de los
ciudadanos, directamente o a través de las asociaciones reconocidas en la Ley, en el
procedimiento de elaboración de disposiciones de carácter general".
Lo que nos indica que las Instrucciones de la Agencia están sometidas a unos
condicionamientos procedimentales de elaboración y de carácter formal que
necesariamente inciden en su validez y/o eficacia.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
4
2. EL ARTICULO 28 DE LA LORTAD
El artículo 28 de la LORTAD regula dos tipos de ficheros:
a) Los ficheros de morosos
b) Los ficheros de información sobre solvencia patrimonial y el crédito.
2.1. LOS FICHEROS DE MOROSOS
Los ficheros de morosos están regulados en la LORTAD dentro del mismo artículo
que regula los de información comercial o evaluación de la solvencia. Tienen una finalidad
distinta, que consiste en registrar el hecho de la mora o impago, cumplimiento o
incumplimiento de obligaciones dinerarias, como indica el artículo 28, aún cuando el
fichero en sí pueda constituir un elemento más de la evaluación de la solvencia de una
persona.
Estos ficheros presentan una especialidad en su regulación legal que es la ausencia
del previo consentimiento en la recogida del dato. No es necesario el consentimiento, ya
que basta con que el mismo sea facilitad por el acreedor o por quien actúe por su cuenta
o interés, pero impone una contrapartida, la notificación posterior de la inclusión en el
fichero.
2.1.1. IMPORTANCIA DE LOS FICHEROS DE MOROSOS
La importancia de estos ficheros nos la demuestra el interés y preocupación de los
ciudadanos en relación con sus datos personales, ya que en la Memoria de la Agencia de
1994 "destaca con toda claridad un primer tipo de datos personales que, aunque no
calificados de especialmente sensibles por la Ley, parecen concentrar las preocupaciones
de nuestra sociedad: los datos de naturaleza económico financiera y, entre ellos,
especialmente, los relativos a la solvencia, el crédito y la morosidad". Las reclamaciones y
denuncias durante el año 1994 sobre solvencia patrimonial, crédito y morosidad fueron de
45, lo que supuso el 56% de las realizadas. Igualmente este sector ha sido "el que ha
ocasionado durante 1995 el mayor número de reclamaciones y denuncias, con más del
50% de las recibidas en la Agencia a lo largo del año.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
5
2.1.2. JUSTIFICACIÓN DE LA AUSENCIA DEL PREVIO CONSENTIMIENTO
La presencia de esta innovación se justifica legalmente en que no puede dejarse en
manos de la persona objeto de una posible valoración negativa la autorización para la
recogida o no del dato desfavorable, sería muy difícil obtener el consentimiento de dicha
persona. Esta característica de juicio o valor negativo sobre el comportamiento económico
de la persona afectada debe extremar las precauciones para tratar de evitar inclusiones no
justificadas o que no respondan a una situación real de deuda o de la cuantía de la
misma. Por ello, se hace necesario el cumplimiento de la obligación de notificación del alta
en el fichero y es preciso que los plazos de permanencia en el mismo tengan una duración
máxima de seis años.
2.1.3. EL TRIBUNAL DE DEFENSA DE LA COMPETENCIA Y LOS REGISTROS DE
MOROSOS
Los registros de morosos deben ser considerados como acuerdos horizontales
incluidos en el ámbito de aplicación del artículo 1 de la Ley 16/89, de Defensa de la
Competencia, que relaciona las conductas prohibidas y que exigen, para ser lícito, la
autorización singular a que se refiere el artículo 4º de la citada Ley 16/89.
"En el año 1995 se resolvieron 44 expedientes de autorización y una solicitud de
renovación de una autorización ya concedida. Como en los dos años anteriores, la mayoría
de las solicitudes de autorización se refirieron a proyectos de creación y puesta en
funcionamiento de registros de morosos establecidos horizontalmente, casi siempre en el
seno de una Asociación Empresarial".
Hasta abril de 1996 se han tramitado un total de 103 expedientes de los que se
han autorizado 99 y el Tribunal sólo ha denegado la autorización de dos supuestos.
Desde enero de 1996 hasta el 26 de febrero de 1997 se resolvieron 23 expedientes
de autorización de las que sólo se denegó uno por contener restricciones a la
competencia.
El Tribunal analiza la validez de los registros de morosos desde la perspectiva de la
Ley 16/89, de Defensa de la Competencia. Ello significa que en ningún caso el Tribunal
cuestiona la actividad desarrollada por la Agencia de Protección de Datos en el marco que
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
6
le ha sido atribuido por la LORTAD, siendo así que en las resoluciones dictadas en relación
con registros de morosos, el Tribunal manifiesta expresamente que "para despejar
posibles dudas sobre el ámbito de aplicación de la Ley 16/1989, de 17 de julio, y el de la
Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de
datos de carácter personal, que prevé expresamente la creación de ficheros de titularidad
privada que tengan por objeto la prestación de servicios de información sobre solvencia
patrimonial y crédito (artículo 28º) este Tribunal considera necesario hacer constar que su
autorización contempla exclusivamente los efectos que los registros de morosos puedan
tener sobre el mercado afectado y no se extiende, por tanto, al cumplimiento de las
condiciones generales o especiales que la citada Ley Orgánica exige y que deben ser
cumplidas, además, por el solicitante de la autorización. El examen sobre esta adecuación
está encomendada por la propia Ley a un órgano específico, la Agencia de Protección de
Datos".
El Tribunal concede la autorización de un registro de morosos, siempre que tengan
las siguientes características:
1º La pertenencia o adhesión al registro debe ser voluntaria
2º La finalidad del registro debe ser la puesta en común de información
3º Que sea para el uso individualizado de los partícipes en el sistema, excluyéndose la
posibilidad de respuestas colectivas o el establecimiento de una respuesta común.
Aparte de estos requisitos existen otras exigencias que se desprenden de la
autorizado en los distintos expedientes.
Las autorizaciones fijan un plazo de cinco años de validez, aunque algunas de las
principales resoluciones establecían un plazo de dos años.
Con la publicación del RD. 1332/1994 de 20 de junio por el que se desarrollan
algunos preceptos de la LORTAD han entrado en vigor la obligación legal de comunicar a
la Agencia de Protección de Datos la existencia y esquema de funcionamiento de los
archivos informatizados, para su inscripción en el Registro General de Protección de
Datos.
"Es de destacar que la Ley Orgánica 5/1992 sólo protege los datos relativos a las
personas físicas, a diferencia de otras normativas extranjeras. Sin embargo, el Tribunal de
Defensa de la Competencia ha ido más allá de la propia Ley, y ha defendido el acceso al
registro de morosos por parte de las personas jurídicas afectadas".
En caso de que se solicitara la autorización de un fichero de morosos, el servicio de
Defensa de la Competencia tenía facultades para investigar y comprobar si los términos de
la autorización se cumplían de forma estricta, pero la extinta Dirección General de Defensa
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
7
de la Competencia, marco administrativo del servicio de Defensa de la Competencia, ha
pasado a integrar junto con otras dos anteriores direcciones generales, por Real Decreto
765/96 de 7 de mayo, la nueva Dirección General de Política Económica y Defensa de la
Competencia.
2.1.4. ANÁLISIS DE ALGUNOS REGISTROS DE MOROSOS
"El R.A.I. (Registro de Aceptaciones Impagadas) y el ASNEF (Asociación Nacional
de Entidades de Financiación) son los registros de morosos más importantes de todos y
los únicos de carácter nacional. Todos los demás tienen carácter regional o gremial, y
están constituidos en torno a actividades y negocios de los más variopintos". Interprés, la
firma de informes comerciales más poderosa, también tiene su relevancia en el sector, a
través de su fichero BDI. Sus listas son las más surtidas de todas las existentes (hay que
hablar de millones de personas "fichadas").
2.1.4.1. Registro de Aceptaciones Impagadas (R.A.I.)
Dependiente del Consejo Superior Bancario en su creación.
Se otorgó la autorización para el funcionamiento en resolución de fecha 30 de
diciembre de 1993 por el Tribunal de Defensa de la Competencia (TDC).
Los requisitos exigidos por el TDC son los siguientes:
a) Inclusión de efectos aceptados impagados cuyo importe sea igual o superior a 50.000
Ptas. Posteriormente se subió a 100.000 Ptas.
b) Obligación de notificar al interesado la inclusión de efectos impagados a su nombre y
de facilitar el acceso de los interesados a este registro.
c) Inclusión de una nota o signo que indique que se ha acredita la oposición judicial al
pago, cuando sea el caso.
d) Obligación de que el Consejo Superior Bancario distribuya a sus socios una circular que
indique la improcedencia de respuestas colectivas.
Con la Ley 3/1994, de 14 de abril, por la que se adapta la legislación española en
materia de entidades de crédito a la Segunda Directiva de Coordinación Bancaria, ha de
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
8
disolverse el Consejo Superior Bancario. Por Orden Ministerial de 13 de mayo de 1994, se
acuerda la publicación del acuerdo del Consejo Superior Bancario, de 29 de abril de 1994,
por el que se designa a la Asociación Española de Banca Privada (AEB) como entidad
representativa de los bancos que componen el Consejo Superior Bancario y destinatario
de la totalidad de su patrimonio, y en consecuencia, también de la gestión del RAI.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
9
La AEB traspasó la gestión del RAI al Centro de Cooperación Internacional (CCI)
asociación cuyo objeto principal, según señala el Tribunal de Defensa de la Competencia
es "el servir como medio de cooperación interbancaria con el fin de agilizar el intercambio
y la liquidez de las operaciones del sector".
El CCI solicitó en julio de 1994 la convalidación de la autorización concedida por el
Tribunal de Defensa de la Competencia, a la que este resolvió conceder al CCI
autorización para la gestión y funcionamiento del RAI con las mismas condiciones de la
autorización concedida al Consejo Superior Bancario, por lo que desde octubre de 1994, la
gestión del RAI corresponde al CCI.
Los criterios de actuación del RAI son:
a) Las Entidades adheridas incorporaran al fichero todos aquellos efectos aceptados que
hayan resultado impagados a su vencimiento, por una cuantía igual o superior a 100.000
Ptas.
b) Eliminación por antigüedad con periodicidad mensual de toda la información que
supere 30 meses de antigüedad, por lo que cumple con creces los 6 años fijados en la
LORTAD.
c) La información al RAI (altas, bajas, modificaciones) deberá hacerse directamente por
las entidades de créditos presentadoras, por transmisión criptografiada.
d) Las personas jurídicas no tienen ningún derecho derivado de la LORTAD, que no les es
aplicable.
e) Los datos no incluyen el DNI.
2.1.4.2. Asociación Nacional de Entidades de Financiación (ASNEF)
Uno de los más importantes registros que funcionan en el ámbito financiero, tiene
registrados aproximadamente 1.800.000 incidencias de las que el 15% corresponden a
personas jurídicas.
Su base de datos recoge la información relativa al cumplimiento o incumplimiento
de obligaciones dinerarias que sus asociados -las entidades de financiación- les facilitan.
Este registro de morosos fue autorizado por el TDC el 18 de septiembre de 1992
con una serie de requisitos que coinciden con los requisitos exigidos a la Asociación
Española de Leasing (AEL) y a la Asociación Nacional de Factoring (AEF):
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
10
a) Que se establezca la voluntariedad (y no la obligatoriedad) de las entidades financieras
de participar en el servicio de información.
b) Que las normas de inclusión y de baja sean iguales para todos los deudores, que sean
incluidos o excluidos por razones idénticas sin que intervenga la discrecionalidad del
registro.
c) Que se facilite a cualquier persona física o jurídica que esté inscrita el acceso al
registro, con entrega de un certificado en el que conste su inclusión.
d)Que se supriman los supuestos de alta y baja antes de los 90 días a discreción de las
entidades solicitantes.
e) Los datos incluyen el DNI
f) Ha modificado su regla de funcionamiento permitiendo que los interesados, puedan
tener acceso al registro, bien por si, bien mediante poder.
Hace unos años se ha fusionado con EQUIFAX formando ASNEF-EQUIFAX.
Tras la publicación de la LORTAD, el fichero fue dado de alta en la Agencia de Protección
de Datos.
2.1.4.3. Bdl
Registro de morosos que gestiona el Grupo privado de informes comerciales Grupo
Interpres S.L.
Interpres ya disponía de un Departamento de Atención a los afectados previo a la
publicación de la LORTAD, basándose en el Convenio para la Protección Personal de
Estrasburgo. Reconoce los derechos de rectificación y cancelación, pero nada dice del
derecho de acceso. Pero, no se sienten obligados a notificar ni a informar de la inclusión,
dado que su fichero se nutre de los datos obtenidos de fuentes de información públicas
(Boletín Oficial del Estado o boletines provinciales, tablones de juzgados, etc.).
Según la Agencia de Protección de Datos la información obtenida de fuentes
oficiales públicas no requiere notificación, pero se exige comunicación al afectado y
exactitud de los datos como requisito para su inclusión.
En marzo de este año, la Agencia de Protección de Datos ha impuesto una multa
de 10.000.001 Ptas. al Grupo Interpres por mantener sus datos incorrectos, que debieron
ser cancelados de oficio.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
11
2.1.5. FICHEROS DEL ACREEDOR Y FICHEROS COMUNES
Como hemos indicado anteriormente la LORTAD dispensa el consentimiento del
propio afectado sustituyéndolo por la comunicación del dato efectuada por el propio
acreedor o por aquella persona que actúa por su cuenta o interés. Tal situación supone la
existencia de dos ficheros totalmente diferenciados:
a) El fichero del acreedor
b) El fichero común
El fichero de morosos que tiene el acreedor que ha visto como se ha incumplido en
todo o en parte la contraprestación económica que formaba parte del contrato; fichero
que no se halla regulado en el artículo 28º de la LORTAD.
El fichero que podríamos denominar común, es el formado por los datos
suministrados por varios acreedores y sí se halla regulado en el artículo 28º.
Las complejas relaciones entre afectado, acreedor y responsable del tratamiento ha
provocado dificultades de aplicación, haciendo necesaria la publicación de una Instrucción
por parte de la Agencia.
2.2. LOS FICHEROS DE INFORMACIÓN SOBRE SOLVENCIA PATRIMONIAL Y EL
CRÉDITO
Para estos ficheros se exige que sus datos se hayan recogido de fuentes accesibles
al público o que procedan de informaciones facilitadas por el afectado o con su
consentimiento.
El responsable del fichero responderá de la exactitud de la información por lo que
deberá llevar a cabo todas las gestiones tendentes a asegurar dicha exactitud.
Debemos tener en cuenta el artículo 12 de la LORTAD que indica que el afectado
podrá impugnar los actos administrativos o decisiones privadas que impliquen una
valoración de su comportamiento cuyo único fundamento sea un tratamiento
automatizado de datos de carácter personal que ofrezcan una definición de sus
características o personalidad.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
12
Por lo tanto, la denegación de un crédito solicitado por un cliente a una Entidad
financiera no podrá tener como único fundamento los datos de naturaleza personal
contenidos en un fichero, sino que deberá existir una metodología de concesión.
2.2.1. LA PROBLEMÁTICA DE LOS DATOS RECOGIDOS DE FUENTES ACCESIBLES
AL PÚBLICO
El problema se plantea fundamentalmente al incluirse en estos ficheros actuaciones
judiciales publicadas en Boletines Oficiales o periódicos de información general, en
cumplimiento de determinados trámites procesales.
Los Boletines oficiales del Estado o los tablones de los anuncios de los juzgados no
son fuentes, accesibles al público en el sentido de la LORTAD. Su finalidad no es ser
conocidos por todos, sino por las partes. La publicación de esta información no implica
más que la existencia de un pleito que se puede ganar, perder o que puede incluso
recurrirse.
Preventivamente, no se puede incluir a estas personas en los ficheros. Lo que pasa
es que eso es incontrolable. Pero con la Ley en la mano, tampoco podemos prohibir lo
contrario, porque no hay nada más público para la conciencia colectiva que el BOE.
"De conformidad con estos principios, una primera interpretación estricta, acorde
con la interpretación que de la publicidad de las resoluciones judiciales hace el Consejo
General del Poder Judicial y el Tribunal Supremo en Sentencia de 3 de marzo de 1995 nos
llevaría a la conclusión que dado que la publicación de Boletines oficiales o de los
periódicos de amplia difusión de determinadas actuaciones judiciales tienen una finalidad
de datos personales, no cabría la posibilidad del tratamiento automatizado al no poder ser
considerados fuentes accesibles al público en sentido estricto".
3. LAS INSTRUCCIONES DE LA AGENCIA DE PROTECCIÓN DE DATOS Y LAS
ENTIDADES FINANCIERAS
Las Instrucciones dictadas por la Agencia, hasta la fecha son:
Instrucción 1/1995, de 1 de marzo, relativa a prestación de servicios de
información sobre solvencia patrimonial y crédito.
!"
Instrucción 2/1995, de 4 de mayo, sobre medidas que garantizan la
intimidad de los datos personales recabados como consecuencia de la contratación de un
seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o
personal.
!"
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
13
Instrucción 1/1996, de
establecidos con la finalidad de controlar
!"
Instrucción 2/1996, de
establecidos con la finalidad de controlar
!"
1 de marzo, sobre ficheros automatizados
el acceso a los edificios.
1 de marzo, sobre ficheros automatizados
el acceso a los casinos y salas de bingo.
Las dos instrucciones que en principio, parecen afectar a las Entidades financieras son las
de 1995, la Instrucción 1/1996 las afecta pero de una manera general, como a otras
muchas Entidades y centros de trabajo.
3.1. CONSIDERACIÓN DE ENTIDAD FINANCIERA
Considera el artículo 3 del RD 1343/1992 de 6 de noviembre, por el que se
desarrolla la Ley 13/1992 de 1 de junio, que tendrán la consideración de entidades
financieras las siguientes:
a) Las entidades de crédito.
b) Las sociedades y agencias de valores.
c) Las entidades aseguradoras.
d) Las sociedades de inversión mobiliaria.
e) Las sociedades gestoras de instituciones de inversión colectiva, así como las sociedades
gestoras de fondos de pensiones, cuyo objeto social exclusivo sea la administración y
gestión de los citados fondos.
f) Las sociedades gestoras de cartera.
g) Las sociedades de capital-riesgo y las gestoras de fondos de capital-riesgo.
h) Las entidades cuya actividad principal sea la tenencia de acciones o participaciones.
i) Las entidades, cualquier que sea su denominación o estatuto, que, de acuerdo con la
normativa que les resulte aplicable, ejerzan las actividades típicas de las anteriores.
3.2. LA INSTRUCCIÓN 1/1995, DE 1 DE MARZO
La Agencia, en la Instrucción 1/1995, trata de adecuar a los principios de la
LORTAD el artículo 28º.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
14
Una parte fundamental de la información utilizada para la toma de decisiones en
materia de riesgos procede de los ficheros internos del propio acreedor, que quedan
fuera del ámbito del artículo 28º y, en consecuencia, de la Instrucción 1/1995, criterio
este compartido por las reiteradas consultas evacuadas por la Agencia.
Junto con los datos que hemos denominado internos han ido surgiendo la
necesidad de contrastar la valoración de riesgos de fuentes externas, dado que los sujetos
cada vez canalizan menos la actividad económica por una sola institución financiera, ya
que los titulares de riesgo con problemas de liquidez o incluso solvencia suelen tratar de
diversificar sus proveedores financieros, tanto por la negativa progresiva de los habituales
a seguir otorgando créditos de dudosa recuperabilidad, como por la fundada creencia de
que el inicio de relaciones con una nueva institución les supone más posibilidades de
obtener nuevos créditos.
Junto con los ficheros internos del acreedor, también estarían excluidos aquellos
ficheros externos que se recogen de resoluciones judiciales, datos de carácter público.
También estarían excluidos los ficheros de Registros de acceso público como el Registro
Mercantil o los Registros de la Propiedad. Por tanto, sólo estarían regulados por la citada
Instrucción los ficheros denominados comunes, es decir alimentados por varios
acreedores, y relativos al cumplimiento o incumplimiento de obligaciones dinerarias.
De la poca claridad de la Instrucción 1/1995 se ha derivado la confusión, por lo que ha
sido recurrida ante el Tribunal Superior de Justicia de Madrid, Sala de los ContenciosoAdministrativo, por ASNEF.
3.2.1. CALIDAD DE LOS DATOS
Además de los requisitos exigidos en los artículos 4º y 28.3 de la LORTAD, la
norma primera de la Instrucción 1/1995 regula una serie de limitaciones y fija unos
requisitos mínimos:
a) Existencia previa de una deuda, cierta, vencida y exigible, que haya resultado
impagada.
b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la
obligación.
A juicio de ALONSO MARTÍNEZ "la Instrucción limita con el apartado 1 de su
norma primera lo regulado en la propia LORTAD no respetando el principio de jerarquía
normativa. Al fijar la existencia previa de una deuda cierta, vencida y exigible que haya
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
15
resultado impagada, como requisito a la inclusión de datos derivados del cumplimiento o
incumplimiento de obligaciones dinerarias, está limitando los datos a los relativos al
incumplimiento" porque "ningún dato relativo al cumplimiento" puede resultar impagado.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
16
"Seguramente, la Instrucción no ha tratado de eliminar los datos relativos al
cumplimiento de obligaciones dinerarias" sino que "se ha referido a los datos relativos al
cumplimiento cuando únicamente quería referirse a los relativos al incumplimiento".
El apartado 2 de la norma primera señala un principio de prueba, al regular que no
podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que
aparentemente contradiga alguno de los requisitos indicados en el apartado 1. Se
procederá cautelarmente a la desaparición del dato personal en el caso de que se hubiese
efectuado su inclusión en el fichero. Esta medida suscitó las críticas del Tribunal de
Defensa de la Competencia "Si se borra a alguien por discutir su inclusión, el registro no
vale para nada. Hasta que no haya un pronunciamiento judicial, el moroso, que a lo mejor
resulta no serlo, ha de permanecer inscrito en las listas" declaraba el Presidente del
Tribunal de Defensa de la Competencia D. Miguel Ángel Fernández Ordóñez
3.2.2. CANCELACIÓN Y RECTIFICACIÓN. LA PROBLEMÁTICA DEL SALDO "0"
Los derechos de cancelación y rectificación se regulan tanto en el artículo 15 de la
LORTAD, como en el artículo 15 del RD 1332/94 y en la norma primera de la Instrucción
1/1995 sin explicar claramente que es cancelar y que es rectificar.
"La interpretación más lógica que cabe dar a la no distinción de ambos derechos es
que la Ley entiende que si un particular no debe dinero alguno, lo que procede es la
cancelación de su inscripción de un registro de morosos, puesto que no lo es, mientras
que si existe un dato concreto equivocado en ese registro, como es el nombre, la cuantía
de la deuda, el acreedor, etc. lo que procede es la rectificación del error". Este
razonamiento se apoya en el artículo 3.1 del Código civil que establece que las normas se
interpretarán según el sentido propio de sus palabras. "Y según ese sentido, no se puede
estar dado de alta en un registro de morosos cuando no se es moroso porque no se debe
nada. Si no hay deuda, no hay mora ni hay moroso"
En la práctica se sigue otro criterio, ya que por ejemplo en el RAI los datos que se
recogen significan simplemente que en el momento del vencimiento el efecto no fue
pagado, y por lo tanto aparecen después del pago como pago posterior que sería una
modificación o rectificación. Por su parte, la cancelación se produciría únicamente como
consecuencia de altas indebidas o por sentencias judiciales favorables al librado / firmante
que se acrediten suficientemente. Estaríamos, en el primer caso ante los denominados
saldos "0". Este asunto fue tratado en la Sentencia de 18 de septiembre de 1992 dictada
por el Tribunal de Defensa de la Competencia. "Se consideró que no era una práctica
abusiva exigir el plazo de cinco años para la permanencia de los saldos "0" en
determinados ficheros de control de morosidad.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
17
"Siguiendo el contenido de esta sentencia se ha pretendido que los saldos "0"
deben ser olvidados a los cinco años, frente a los seis de los datos adversos, y otras
posturas han considerado que por ser el saldo "0" un dato adverso, debe de permanecer
seis años". A entender de ALONSO MARTÍNEZ todo depende de la actividad legítima del
titular del fichero.
3.2.3. RESPONSABLE DEL FICHERO
En los ficheros comunes de acreedores se da la circunstancia peculiar de que la
certeza y veracidad del dato económico personal tratado no las tiene el responsable del
fichero común, que sin embargo efectúa el tratamiento automatizado del mismo, y sí es
responsable de los errores imputables al proceso informático y a la gestión del archivo.
Por tanto, la responsabilidad por la inexactitud culpable del dato, será imputable al
acreedor, al responsable del fichero o a ambos, dependiendo del origen del problema.
La determinación del responsable y domicilio donde las personas con datos
incluidos en estos ficheros pueden dirigirse para el ejercicio de los derechos que les
reconoce la LORTAD, la lógica nos conduciría al acreedor, aunque cabe la posibilidad de
delegar la obligación de información en el responsable del fichero, que tendría que
establecer los mecanismos de comunicación-respuesta con el acreedor.
La información de los responsables de los ficheros de morosos que tienen los
bancos la facilita la Agencia de Protección de Datos cuando se la piden, para facilitar a los
interesados la localización de los responsables y entidad a la que se han de dirigir.
3.2.4. AUDITORIAS
Según la Instrucción 1/1995 los sistemas que almacenen o procesen información
relativa al cumplimiento o incumplimiento de obligaciones dinerarias, deberá acreditar la
efectiva implantación de determinadas medidas de seguridad, que serán aquellas de
índole técnica y organizativa necesarias que garanticen la seguridad de los datos de
carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado,
habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los
riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o
natural.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
18
"Algunas opiniones afirman que las entidades financieras no se dedican
directamente a la prestación de servicios de información sobre solvencia patrimonial y
crédito y, por lo tanto, no estarían sujetas a dicha obligación. Otras opiniones indican que
dado que las entidades financieras nutren con sus datos otros ficheros de otras entidades
que sí prestan estos servicios de información sobre solvencia y crédito, como son el
Registro de Aceptaciones Impagadas (R.A.I.) y la Central de Información de Riesgos del
Banco de España (C.I.R.B.E.), sí estarían sujetas a lo indicado en la Instrucción."
En consulta, formulada por una Entidad de Crédito a la Agencia, relativa a la obligación o
no de remitir el Informe de Auditoría por parte de dichas Entidades, la Agencia contestó
en el sentido de obligar la Auditoria cuando la Entidad posea o controle materialmente
una copia del fichero común.
3.2.5. CESIONES DE DATOS
En el informe anual del Defensor del Pueblo correspondiente a la gestión realizada
durante el año 1995 se pone de manifiesto la preocupación que comparte con la Agencia
en relación con las fórmulas excesivamente amplias y carentes de concreción a través de
las cuales las entidades financieras y de crédito vienen solicitando la autorización de los
titulares de datos personales, obrantes en unos ficheros para su cesión a terceros.
La Agencia se ha puesto en contacto con los principales directivos de las entidades
de crédito y de las asociaciones que las agrupan, instando a éstas para que sus asociados
se atengan en mayor medida a las prescripciones de la Ley y posibiliten su pleno
cumplimiento.
3.2.5.1. Cesiones de datos entre empresas de un mismo Grupo
Las Entidades financieras cumplen con el precepto contenido en el artículo 11.3 cuando
las personas físicas contratantes, depositantes, prestatarios, acreditados, titulares de las
tarjetas, etc.,autorizan a estas para que, sin perjuicio de su derecho a revocar el
consentimiento en cualquier momento de lo que también se debería informar, puedan
ceder sus datos personales a cualquiera otras empresas en cuyo capital social o
fundacional participe la Entidad financiera y para finalidades legítimas de cedente y
cesionaria, pero deben cumplir también el artículo 25.1. La redacción de los artículos 11º
y 25º es clara. En el artículo 11º se solicita el consentimiento para la cesión y en el 25º
se impone la obligación de notificación de la cesión.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
19
3.2.5.2. Servicio de recobro de deudas contratando a empresas externas
Se podrían incluir dentro del artículo 27º de la LORTAD, esto es, tratamiento de
datos más prestación de servicios y por tanto no se trataría de una cesión de datos strictu
sensu.
La gestora de recobro no deberá inscribir el fichero por no tratarse de un fichero
propio, sino del acreedor.
3.2.5.3. Cesiones de datos a empresas de suministro de electricidad.
En cumplimiento de la Resolución de 15 de Diciembre de 1995 de la Dirección
General de Energía sobre modelos para la facturación, los recibos serán emitidos por
IBERDROLA SA y remitidos por la misma, pero los datos de domiciliación varían y por lo
tanto al facilitar los domicilios a los que se remiten los correspondientes recibos, las
Entidades financieras están ante un supuesto de cesión de datos autorizado por el
contenido del artículo 11.2.c de la LORTAD.
4. CENTRAL DE INFORMACIÓN DE RIESGOS
No podemos dejar sin mencionar en este trabajo la Central de Información de
Riesgos (C.I.R.) dependiente del Banco de España, ya que aunque no la relacionamos en
los ficheros de morosos, por no estar considerado como tal, es una fuente de información
primordial y prioritaria para las Entidades Financieras.
En la norma novena de la circular 3/1995, de 25 de septiembre, del Banco de
España regula el acceso, rectificación y cancelación que ampara a las personas físicas
según lo dispuesto en la LORTAD. También regula la suspensión preventiva :La C.I.R.
suspenderá la cesión a terceros de los datos sobre los que exista duda fundada sobre su
exactitud.
Esta normativa podría ser asimilable, sólo en lo que respecta a créditos de
personas físicas y a los datos sobre morosidad de dichos créditos, a un fichero común de
acreedores.
5. LA INSTRUCCIÓN 2/1995, DE 4 DE MAYO
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
20
Las entidades de crédito actúan como mediadoras en un contrato de seguro, con
capacidad de celebrar un contrato de esta naturaleza de cuyo cumplimiento y efectos no
responde de manera directa sino que son asumidos por otra de distinta personalidad
jurídica.
En los contratos de seguros de vida serán las compañías de seguros las
autorizadas para la conservación y tratamiento de los datos especialmente protegidos
pero bajo ningún concepto podrá aceptarse que la entidad de crédito también manejen y
traten datos de esta naturaleza.
CONCLUSIÓN
El consentimiento del afectado es un principio general de la LORTAD matizado por
los demás preceptos de la misma. Sería bueno y correcto que en el caso de que se vaya a
incorporar a un registro de morosos al peticionario de un crédito, se incorporase al
clausulado del contrato un artículo incluyendo la prestación del consentimiento del
prestatario para que en caso de impago proceda la entidad a darle de alta en un registro
de morosos.
No es malo además que la Entidad sepa que el peticionario del crédito, en su caso,
se opone a que se le incluya en un registro de morosos, ya que puede ser a su vez un
elemento para evaluar si conviene o no otorgar dicho crédito al peticionario.
Tenemos que tener en cuenta que el desarrollo de la actividad económica está
relacionado con la mejora en la información sobre solvencia patrimonial y crédito, por lo
que debemos encontrar un equilibrio entre este desarrollo y la necesaria protección del
ciudadano en el tratamiento de los datos.
Mejorar la calidad de los datos debe ser una de las metas a conseguir, ya que las
informaciones parciales, incompletas y sesgadas perjudican a la persona peticionaria de
los datos. La solución del DNI resolvería muchos errores interpretativos, por coincidencia o
por similitud de nombre, pero la contrapartida pudiera ser la creación de un gran fichero
que controle un numero indeterminado de datos de muchas personas, pensando en la
utilización que se pudiera hacer de el.
Debemos tener en cuenta la desprotección en que se encuentran las personas
jurídicas, ya que este vacío legal está siendo aprovechado por muchos responsables de
ficheros automatizados que tratan datos relativos al cumplimiento o incumplimiento de las
obligaciones dinerarias para no facilitar información a las numerosas empresas que figuran
inscritas en esos ficheros.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
21
En cuanto a las Instrucciones de la Agencia, lograr que se sometan a los
condicionamientos procedimentales de elaboración y de carácter formal que proceda
Se tendría que , delimitar el concepto de fuentes accesibles al público.
Por último, la aplicación de la Directiva 95/46/CE sería un buen momento para
corregir los errores detectados tanto en la Ley como en sus normas de desarrollo.
Información facilitada por HELGUERO ASOCIADOS
C/ Magallanes, 24 – 1º C
28015 Madrid
Tfno. 902.440.003
www.protegemostusdatos.com
22
Descargar