Las Instrucciones de la Agencia y las Entidades de Crédito Autor: José Cuervo Fuente: informatica-juridica.com ÍNDICE INTRODUCCIÓN 1. PODER NORMATIVO DE LA AGENCIA DE PROTECCIÓN DE DATOS 2. EL ARTICULO 28 DE LA LORTAD 1. LOS FICHEROS DE MOROSOS 1. IMPORTANCIA DE LOS FICHEROS DE MOROSOS 2. JUSTIFICACIÓN DE LA AUSENCIA DEL PREVIO CONSENTIMIENTO 3. EL TRIBUNAL DE DEFENSA DE LA COMPETENCIA Y LOS REGISTROS DE MOROSOS 4. ANÁLISIS DE ALGUNOS REGISTROS DE MOROSOS 1. Registro de Aceptaciones Impagadas (R.A.I.) 2. Asociación Nacional de Entidades de Financiación (ASNEF) 3. Bdl 5. FICHEROS DEL ACREEDOR Y FICHEROS COMUNES 2. LOS FICHEROS DE INFORMACIÓN SOBRE SOLVENCIA PATRIMONIAL Y EL CRÉDITO 1. LA PROBLEMÁTICA DE LOS DATOS RECOGIDOS DE FUENTES ACCESIBLES AL PÚBLICO 3. LAS INSTRUCCIONES DE LA AGENCIA DE PROTECCIÓN DE DATOS Y LAS ENTIDADES FINANCIERAS 1. CONSIDERACIÓN DE ENTIDAD FINANCIERA 2. LA INSTRUCCIÓN 1/1995, DE 1 DE MARZO 1. CALIDAD DE LOS DATOS 2. CANCELACIÓN Y RECTIFICACIÓN. LA PROBLEMÁTICA DEL SALDO "0" 3. RESPONSABLE DEL FICHERO 4. AUDITORIAS 5. CESIONES DE DATOS 1. Cesiones de datos entre empresas de un mismo Grupo 2. Servicio de recobro de deudas contratando a empresas externas 3. Cesiones de datos a empresas de suministro de electricidad 4. CENTRAL DE INFORMACIÓN DE RIESGOS 5. LA INSTRUCCIÓN 2/1995, DE 4 DE MAYO 6. CONCLUSIÓN Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 1 INTRODUCCIÓN El título VI de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento automatizado de los Datos de Carácter Personal, configura la Agencia de Protección de Datos como un Ente independiente que debe garantizar el cumplimiento de las previsiones y mandatos en ella establecidos. Algunos aspectos de la Agencia han sido objeto de Regulación en la propia Ley, en los artículos 34º a 41º, otros en virtud de mandato al Gobierno, de conformidad con lo dispuesto en el artículo 34.2 y de la disposición final 1ª, han tenido su reflejo en el Real Decreto 428/1993, de 26 de marzo por el que se aprueba el Estatuto de la Agencia de Protección de Datos y en el Real Decreto 156/1996 de 2 de febrero por el que se modifica el Estatuto de la Agencia de Protección de Datos, designándola como representante español en el grupo de protección de las personas previsto en la Directiva 95/46/CE y, en defecto de estas normas para el ejercicio de sus funciones públicas, se rigen por las normas de procedimiento contenidas en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, y por los preceptos de la Ley General Presupuestaria, texto refundido aprobado por Real Decreto Legislativo 1091/1988, de 23 de septiembre, que resulten de aplicación. Entre las funciones encomendadas a la Agencia de Protección de Datos (en adelante, Agencia), tanto en el artículo 36º de la LORTAD como en el 5º del RD. 428/1993, nos interesa destacar para el trabajo a desarrollar: a) el papel consultivo b) el reconocimiento de una potestad propia de dictar reglas de carácter general. El papel consultivo faculta a la Agencia a colaborar con los órganos competentes en lo que respecta al desarrollo normativo y aplicación de las normas que incidan en materia propia de la LORTAD, asimismo, informará preceptivamente cualesquiera proyectos de ley o reglamentos que incidan en la materia propia de la LORTAD. La potestad de dictar reglas se refleja de dos maneras: 1.- Dictando instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la LORTAD. 2.- Dictando recomendación de aplicación de las disposiciones legales y reglamentarias en materia de seguridad de los datos y control de acceso a los ficheros. El objetivo que se pretende con este trabajo, es analizar en primer lugar el reconocimiento de un poder normativo propio en favor de la Agencia, en segundo lugar Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 2 analizar el artículo 28º y los ficheros de morosos de la LORTAD y por último comentar los instrucciones de la Agencia que afectan a las entidades financieras. 1. PODER NORMATIVO DE LA AGENCIA DE PROTECCIÓN DE DATOS Esta potestad normativa no incide solamente en el ámbito del ordenamiento jurídico del Estado, sino que, posee una gran trascendencia en el ámbito del ordenamiento jurídico de las distintas Comunidades Autónomas, respecto a los ficheros automatizados de datos gestionados por las mismas y así lo podemos comprobar con la Ley 13/1995, de 21 abril, de Regulación del uso de la informática en el Tratamiento de Datos Personales por la Comunidad de Madrid que en su artículo 28, regula las atribuciones y funciones de la Agencia de Protección de Datos de la Comunidad de Madrid, entre las que se refleja entre otras la de dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de esta Ley. De acuerdo con el artículo 40.1 de la LORTAD en el que se establece que las funciones de la Agencia de Protección de Datos reguladas en el artículo 36, a excepción de las mencionadas en los apartados j), k) y l) y en los apartados f) y g) en lo que se refiere a las transferencias internacionales de datos, así como en los artículos 45 y 48, en relación con sus específicas competencias, serán ejercidas, cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las Comunidades Autónomas, por los órganos correspondientes de cada Comunidad, a los que se garantizará plena independencia y objetividad en el ejercicio de su contenido, podemos observar que las funciones de la Agencia reguladas en el artículo 36º de la LORTAD serán ejercidas cuando afecten a ficheros automatizados de datos de carácter personal creados o gestionados por las Comunidades Autónomas, por los órganos correspondientes a cada Comunidad a excepción entre otros de: velar por la publicidad de la existencia de los ficheros automatizados de datos de carácter personal, con publicación de una relación de dichos ficheros, redactar la Memoria anual, ejercer el control y adoptar las autorizaciones que procedan en relación con los movimientos internacionales de datos, así como desempeñar las funciones de cooperación internacional en materia de protección de datos. Debemos tener en cuenta que el artículo 40.1 de la LORTAD está pendiente de recurso de inconstitucionalidad presentado por el Consejo Ejecutivo de la Generalidad de Cataluña y por el Parlamento Catalán que deberá resolver el Tribunal Constitucional. De acuerdo con el trabajo de MARROIG POL hay que determinar si la potestad de la Agencia se trata del reconocimiento de una potestad normativa (reglamentaria) o de una potestad meramente técnico-interpretativa. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 3 Entendemos por potestad reglamentaria, aquella que implica dictar disposiciones reguladoras de aspectos no recogidos por la Ley..., en la medida que con el ejercicio de la potestad reglamentaria se llenan vacíos normativos que el legislador, por su importancia secundaria, ha considerado conveniente que no estén en la Ley. Por otra parte la "potestad interpretadora se ejercita por el aplicador del Derecho precisamente en fase de aplicación del mismo". "Con base en la habilitación legal referenciada, cabe concluir que la Agencia puede dictar normas que incidan tanto en la fase de creación del Derecho como en la fase de aplicación". En el primer caso nos encontramos con las denominadas Instrucciones, que constituyen, verdaderas normas reglamentarias; en el segundo caso nos encontraríamos con las Recomendaciones. "Hay que advertir que la potestad normativa reconocida a favor de la Agencia, a través de las Instrucciones, se base en una expresa y concreta habilitación legal y no puede entenderse como una deslegalización". Cumplida la condición de expresa autorización legal que tiene la Agencia determinaremos una segunda condición de carácter formal, siguiendo el mismo trabajo de MARROIG POL, que es la relativa a su elaboración. En este sentido podemos determinar dos deficiencias. "En primer lugar, no parece que se haya acudido al mecanismo de consulta previsto en el artículo 10.6 de la Ley de Régimen Jurídico de la Administración del Estado, a saber, la exigencia de dictamen del Consejo de Estado". "En segundo lugar, parece haberse obviado la fundamental previsión recogida en el artículo 105,a) de la Constitución que dispone, preceptivamente, la audiencia de los ciudadanos, directamente o a través de las asociaciones reconocidas en la Ley, en el procedimiento de elaboración de disposiciones de carácter general". Lo que nos indica que las Instrucciones de la Agencia están sometidas a unos condicionamientos procedimentales de elaboración y de carácter formal que necesariamente inciden en su validez y/o eficacia. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 4 2. EL ARTICULO 28 DE LA LORTAD El artículo 28 de la LORTAD regula dos tipos de ficheros: a) Los ficheros de morosos b) Los ficheros de información sobre solvencia patrimonial y el crédito. 2.1. LOS FICHEROS DE MOROSOS Los ficheros de morosos están regulados en la LORTAD dentro del mismo artículo que regula los de información comercial o evaluación de la solvencia. Tienen una finalidad distinta, que consiste en registrar el hecho de la mora o impago, cumplimiento o incumplimiento de obligaciones dinerarias, como indica el artículo 28, aún cuando el fichero en sí pueda constituir un elemento más de la evaluación de la solvencia de una persona. Estos ficheros presentan una especialidad en su regulación legal que es la ausencia del previo consentimiento en la recogida del dato. No es necesario el consentimiento, ya que basta con que el mismo sea facilitad por el acreedor o por quien actúe por su cuenta o interés, pero impone una contrapartida, la notificación posterior de la inclusión en el fichero. 2.1.1. IMPORTANCIA DE LOS FICHEROS DE MOROSOS La importancia de estos ficheros nos la demuestra el interés y preocupación de los ciudadanos en relación con sus datos personales, ya que en la Memoria de la Agencia de 1994 "destaca con toda claridad un primer tipo de datos personales que, aunque no calificados de especialmente sensibles por la Ley, parecen concentrar las preocupaciones de nuestra sociedad: los datos de naturaleza económico financiera y, entre ellos, especialmente, los relativos a la solvencia, el crédito y la morosidad". Las reclamaciones y denuncias durante el año 1994 sobre solvencia patrimonial, crédito y morosidad fueron de 45, lo que supuso el 56% de las realizadas. Igualmente este sector ha sido "el que ha ocasionado durante 1995 el mayor número de reclamaciones y denuncias, con más del 50% de las recibidas en la Agencia a lo largo del año. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 5 2.1.2. JUSTIFICACIÓN DE LA AUSENCIA DEL PREVIO CONSENTIMIENTO La presencia de esta innovación se justifica legalmente en que no puede dejarse en manos de la persona objeto de una posible valoración negativa la autorización para la recogida o no del dato desfavorable, sería muy difícil obtener el consentimiento de dicha persona. Esta característica de juicio o valor negativo sobre el comportamiento económico de la persona afectada debe extremar las precauciones para tratar de evitar inclusiones no justificadas o que no respondan a una situación real de deuda o de la cuantía de la misma. Por ello, se hace necesario el cumplimiento de la obligación de notificación del alta en el fichero y es preciso que los plazos de permanencia en el mismo tengan una duración máxima de seis años. 2.1.3. EL TRIBUNAL DE DEFENSA DE LA COMPETENCIA Y LOS REGISTROS DE MOROSOS Los registros de morosos deben ser considerados como acuerdos horizontales incluidos en el ámbito de aplicación del artículo 1 de la Ley 16/89, de Defensa de la Competencia, que relaciona las conductas prohibidas y que exigen, para ser lícito, la autorización singular a que se refiere el artículo 4º de la citada Ley 16/89. "En el año 1995 se resolvieron 44 expedientes de autorización y una solicitud de renovación de una autorización ya concedida. Como en los dos años anteriores, la mayoría de las solicitudes de autorización se refirieron a proyectos de creación y puesta en funcionamiento de registros de morosos establecidos horizontalmente, casi siempre en el seno de una Asociación Empresarial". Hasta abril de 1996 se han tramitado un total de 103 expedientes de los que se han autorizado 99 y el Tribunal sólo ha denegado la autorización de dos supuestos. Desde enero de 1996 hasta el 26 de febrero de 1997 se resolvieron 23 expedientes de autorización de las que sólo se denegó uno por contener restricciones a la competencia. El Tribunal analiza la validez de los registros de morosos desde la perspectiva de la Ley 16/89, de Defensa de la Competencia. Ello significa que en ningún caso el Tribunal cuestiona la actividad desarrollada por la Agencia de Protección de Datos en el marco que Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 6 le ha sido atribuido por la LORTAD, siendo así que en las resoluciones dictadas en relación con registros de morosos, el Tribunal manifiesta expresamente que "para despejar posibles dudas sobre el ámbito de aplicación de la Ley 16/1989, de 17 de julio, y el de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de datos de carácter personal, que prevé expresamente la creación de ficheros de titularidad privada que tengan por objeto la prestación de servicios de información sobre solvencia patrimonial y crédito (artículo 28º) este Tribunal considera necesario hacer constar que su autorización contempla exclusivamente los efectos que los registros de morosos puedan tener sobre el mercado afectado y no se extiende, por tanto, al cumplimiento de las condiciones generales o especiales que la citada Ley Orgánica exige y que deben ser cumplidas, además, por el solicitante de la autorización. El examen sobre esta adecuación está encomendada por la propia Ley a un órgano específico, la Agencia de Protección de Datos". El Tribunal concede la autorización de un registro de morosos, siempre que tengan las siguientes características: 1º La pertenencia o adhesión al registro debe ser voluntaria 2º La finalidad del registro debe ser la puesta en común de información 3º Que sea para el uso individualizado de los partícipes en el sistema, excluyéndose la posibilidad de respuestas colectivas o el establecimiento de una respuesta común. Aparte de estos requisitos existen otras exigencias que se desprenden de la autorizado en los distintos expedientes. Las autorizaciones fijan un plazo de cinco años de validez, aunque algunas de las principales resoluciones establecían un plazo de dos años. Con la publicación del RD. 1332/1994 de 20 de junio por el que se desarrollan algunos preceptos de la LORTAD han entrado en vigor la obligación legal de comunicar a la Agencia de Protección de Datos la existencia y esquema de funcionamiento de los archivos informatizados, para su inscripción en el Registro General de Protección de Datos. "Es de destacar que la Ley Orgánica 5/1992 sólo protege los datos relativos a las personas físicas, a diferencia de otras normativas extranjeras. Sin embargo, el Tribunal de Defensa de la Competencia ha ido más allá de la propia Ley, y ha defendido el acceso al registro de morosos por parte de las personas jurídicas afectadas". En caso de que se solicitara la autorización de un fichero de morosos, el servicio de Defensa de la Competencia tenía facultades para investigar y comprobar si los términos de la autorización se cumplían de forma estricta, pero la extinta Dirección General de Defensa Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 7 de la Competencia, marco administrativo del servicio de Defensa de la Competencia, ha pasado a integrar junto con otras dos anteriores direcciones generales, por Real Decreto 765/96 de 7 de mayo, la nueva Dirección General de Política Económica y Defensa de la Competencia. 2.1.4. ANÁLISIS DE ALGUNOS REGISTROS DE MOROSOS "El R.A.I. (Registro de Aceptaciones Impagadas) y el ASNEF (Asociación Nacional de Entidades de Financiación) son los registros de morosos más importantes de todos y los únicos de carácter nacional. Todos los demás tienen carácter regional o gremial, y están constituidos en torno a actividades y negocios de los más variopintos". Interprés, la firma de informes comerciales más poderosa, también tiene su relevancia en el sector, a través de su fichero BDI. Sus listas son las más surtidas de todas las existentes (hay que hablar de millones de personas "fichadas"). 2.1.4.1. Registro de Aceptaciones Impagadas (R.A.I.) Dependiente del Consejo Superior Bancario en su creación. Se otorgó la autorización para el funcionamiento en resolución de fecha 30 de diciembre de 1993 por el Tribunal de Defensa de la Competencia (TDC). Los requisitos exigidos por el TDC son los siguientes: a) Inclusión de efectos aceptados impagados cuyo importe sea igual o superior a 50.000 Ptas. Posteriormente se subió a 100.000 Ptas. b) Obligación de notificar al interesado la inclusión de efectos impagados a su nombre y de facilitar el acceso de los interesados a este registro. c) Inclusión de una nota o signo que indique que se ha acredita la oposición judicial al pago, cuando sea el caso. d) Obligación de que el Consejo Superior Bancario distribuya a sus socios una circular que indique la improcedencia de respuestas colectivas. Con la Ley 3/1994, de 14 de abril, por la que se adapta la legislación española en materia de entidades de crédito a la Segunda Directiva de Coordinación Bancaria, ha de Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 8 disolverse el Consejo Superior Bancario. Por Orden Ministerial de 13 de mayo de 1994, se acuerda la publicación del acuerdo del Consejo Superior Bancario, de 29 de abril de 1994, por el que se designa a la Asociación Española de Banca Privada (AEB) como entidad representativa de los bancos que componen el Consejo Superior Bancario y destinatario de la totalidad de su patrimonio, y en consecuencia, también de la gestión del RAI. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 9 La AEB traspasó la gestión del RAI al Centro de Cooperación Internacional (CCI) asociación cuyo objeto principal, según señala el Tribunal de Defensa de la Competencia es "el servir como medio de cooperación interbancaria con el fin de agilizar el intercambio y la liquidez de las operaciones del sector". El CCI solicitó en julio de 1994 la convalidación de la autorización concedida por el Tribunal de Defensa de la Competencia, a la que este resolvió conceder al CCI autorización para la gestión y funcionamiento del RAI con las mismas condiciones de la autorización concedida al Consejo Superior Bancario, por lo que desde octubre de 1994, la gestión del RAI corresponde al CCI. Los criterios de actuación del RAI son: a) Las Entidades adheridas incorporaran al fichero todos aquellos efectos aceptados que hayan resultado impagados a su vencimiento, por una cuantía igual o superior a 100.000 Ptas. b) Eliminación por antigüedad con periodicidad mensual de toda la información que supere 30 meses de antigüedad, por lo que cumple con creces los 6 años fijados en la LORTAD. c) La información al RAI (altas, bajas, modificaciones) deberá hacerse directamente por las entidades de créditos presentadoras, por transmisión criptografiada. d) Las personas jurídicas no tienen ningún derecho derivado de la LORTAD, que no les es aplicable. e) Los datos no incluyen el DNI. 2.1.4.2. Asociación Nacional de Entidades de Financiación (ASNEF) Uno de los más importantes registros que funcionan en el ámbito financiero, tiene registrados aproximadamente 1.800.000 incidencias de las que el 15% corresponden a personas jurídicas. Su base de datos recoge la información relativa al cumplimiento o incumplimiento de obligaciones dinerarias que sus asociados -las entidades de financiación- les facilitan. Este registro de morosos fue autorizado por el TDC el 18 de septiembre de 1992 con una serie de requisitos que coinciden con los requisitos exigidos a la Asociación Española de Leasing (AEL) y a la Asociación Nacional de Factoring (AEF): Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 10 a) Que se establezca la voluntariedad (y no la obligatoriedad) de las entidades financieras de participar en el servicio de información. b) Que las normas de inclusión y de baja sean iguales para todos los deudores, que sean incluidos o excluidos por razones idénticas sin que intervenga la discrecionalidad del registro. c) Que se facilite a cualquier persona física o jurídica que esté inscrita el acceso al registro, con entrega de un certificado en el que conste su inclusión. d)Que se supriman los supuestos de alta y baja antes de los 90 días a discreción de las entidades solicitantes. e) Los datos incluyen el DNI f) Ha modificado su regla de funcionamiento permitiendo que los interesados, puedan tener acceso al registro, bien por si, bien mediante poder. Hace unos años se ha fusionado con EQUIFAX formando ASNEF-EQUIFAX. Tras la publicación de la LORTAD, el fichero fue dado de alta en la Agencia de Protección de Datos. 2.1.4.3. Bdl Registro de morosos que gestiona el Grupo privado de informes comerciales Grupo Interpres S.L. Interpres ya disponía de un Departamento de Atención a los afectados previo a la publicación de la LORTAD, basándose en el Convenio para la Protección Personal de Estrasburgo. Reconoce los derechos de rectificación y cancelación, pero nada dice del derecho de acceso. Pero, no se sienten obligados a notificar ni a informar de la inclusión, dado que su fichero se nutre de los datos obtenidos de fuentes de información públicas (Boletín Oficial del Estado o boletines provinciales, tablones de juzgados, etc.). Según la Agencia de Protección de Datos la información obtenida de fuentes oficiales públicas no requiere notificación, pero se exige comunicación al afectado y exactitud de los datos como requisito para su inclusión. En marzo de este año, la Agencia de Protección de Datos ha impuesto una multa de 10.000.001 Ptas. al Grupo Interpres por mantener sus datos incorrectos, que debieron ser cancelados de oficio. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 11 2.1.5. FICHEROS DEL ACREEDOR Y FICHEROS COMUNES Como hemos indicado anteriormente la LORTAD dispensa el consentimiento del propio afectado sustituyéndolo por la comunicación del dato efectuada por el propio acreedor o por aquella persona que actúa por su cuenta o interés. Tal situación supone la existencia de dos ficheros totalmente diferenciados: a) El fichero del acreedor b) El fichero común El fichero de morosos que tiene el acreedor que ha visto como se ha incumplido en todo o en parte la contraprestación económica que formaba parte del contrato; fichero que no se halla regulado en el artículo 28º de la LORTAD. El fichero que podríamos denominar común, es el formado por los datos suministrados por varios acreedores y sí se halla regulado en el artículo 28º. Las complejas relaciones entre afectado, acreedor y responsable del tratamiento ha provocado dificultades de aplicación, haciendo necesaria la publicación de una Instrucción por parte de la Agencia. 2.2. LOS FICHEROS DE INFORMACIÓN SOBRE SOLVENCIA PATRIMONIAL Y EL CRÉDITO Para estos ficheros se exige que sus datos se hayan recogido de fuentes accesibles al público o que procedan de informaciones facilitadas por el afectado o con su consentimiento. El responsable del fichero responderá de la exactitud de la información por lo que deberá llevar a cabo todas las gestiones tendentes a asegurar dicha exactitud. Debemos tener en cuenta el artículo 12 de la LORTAD que indica que el afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento cuyo único fundamento sea un tratamiento automatizado de datos de carácter personal que ofrezcan una definición de sus características o personalidad. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 12 Por lo tanto, la denegación de un crédito solicitado por un cliente a una Entidad financiera no podrá tener como único fundamento los datos de naturaleza personal contenidos en un fichero, sino que deberá existir una metodología de concesión. 2.2.1. LA PROBLEMÁTICA DE LOS DATOS RECOGIDOS DE FUENTES ACCESIBLES AL PÚBLICO El problema se plantea fundamentalmente al incluirse en estos ficheros actuaciones judiciales publicadas en Boletines Oficiales o periódicos de información general, en cumplimiento de determinados trámites procesales. Los Boletines oficiales del Estado o los tablones de los anuncios de los juzgados no son fuentes, accesibles al público en el sentido de la LORTAD. Su finalidad no es ser conocidos por todos, sino por las partes. La publicación de esta información no implica más que la existencia de un pleito que se puede ganar, perder o que puede incluso recurrirse. Preventivamente, no se puede incluir a estas personas en los ficheros. Lo que pasa es que eso es incontrolable. Pero con la Ley en la mano, tampoco podemos prohibir lo contrario, porque no hay nada más público para la conciencia colectiva que el BOE. "De conformidad con estos principios, una primera interpretación estricta, acorde con la interpretación que de la publicidad de las resoluciones judiciales hace el Consejo General del Poder Judicial y el Tribunal Supremo en Sentencia de 3 de marzo de 1995 nos llevaría a la conclusión que dado que la publicación de Boletines oficiales o de los periódicos de amplia difusión de determinadas actuaciones judiciales tienen una finalidad de datos personales, no cabría la posibilidad del tratamiento automatizado al no poder ser considerados fuentes accesibles al público en sentido estricto". 3. LAS INSTRUCCIONES DE LA AGENCIA DE PROTECCIÓN DE DATOS Y LAS ENTIDADES FINANCIERAS Las Instrucciones dictadas por la Agencia, hasta la fecha son: Instrucción 1/1995, de 1 de marzo, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito. !" Instrucción 2/1995, de 4 de mayo, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal. !" Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 13 Instrucción 1/1996, de establecidos con la finalidad de controlar !" Instrucción 2/1996, de establecidos con la finalidad de controlar !" 1 de marzo, sobre ficheros automatizados el acceso a los edificios. 1 de marzo, sobre ficheros automatizados el acceso a los casinos y salas de bingo. Las dos instrucciones que en principio, parecen afectar a las Entidades financieras son las de 1995, la Instrucción 1/1996 las afecta pero de una manera general, como a otras muchas Entidades y centros de trabajo. 3.1. CONSIDERACIÓN DE ENTIDAD FINANCIERA Considera el artículo 3 del RD 1343/1992 de 6 de noviembre, por el que se desarrolla la Ley 13/1992 de 1 de junio, que tendrán la consideración de entidades financieras las siguientes: a) Las entidades de crédito. b) Las sociedades y agencias de valores. c) Las entidades aseguradoras. d) Las sociedades de inversión mobiliaria. e) Las sociedades gestoras de instituciones de inversión colectiva, así como las sociedades gestoras de fondos de pensiones, cuyo objeto social exclusivo sea la administración y gestión de los citados fondos. f) Las sociedades gestoras de cartera. g) Las sociedades de capital-riesgo y las gestoras de fondos de capital-riesgo. h) Las entidades cuya actividad principal sea la tenencia de acciones o participaciones. i) Las entidades, cualquier que sea su denominación o estatuto, que, de acuerdo con la normativa que les resulte aplicable, ejerzan las actividades típicas de las anteriores. 3.2. LA INSTRUCCIÓN 1/1995, DE 1 DE MARZO La Agencia, en la Instrucción 1/1995, trata de adecuar a los principios de la LORTAD el artículo 28º. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 14 Una parte fundamental de la información utilizada para la toma de decisiones en materia de riesgos procede de los ficheros internos del propio acreedor, que quedan fuera del ámbito del artículo 28º y, en consecuencia, de la Instrucción 1/1995, criterio este compartido por las reiteradas consultas evacuadas por la Agencia. Junto con los datos que hemos denominado internos han ido surgiendo la necesidad de contrastar la valoración de riesgos de fuentes externas, dado que los sujetos cada vez canalizan menos la actividad económica por una sola institución financiera, ya que los titulares de riesgo con problemas de liquidez o incluso solvencia suelen tratar de diversificar sus proveedores financieros, tanto por la negativa progresiva de los habituales a seguir otorgando créditos de dudosa recuperabilidad, como por la fundada creencia de que el inicio de relaciones con una nueva institución les supone más posibilidades de obtener nuevos créditos. Junto con los ficheros internos del acreedor, también estarían excluidos aquellos ficheros externos que se recogen de resoluciones judiciales, datos de carácter público. También estarían excluidos los ficheros de Registros de acceso público como el Registro Mercantil o los Registros de la Propiedad. Por tanto, sólo estarían regulados por la citada Instrucción los ficheros denominados comunes, es decir alimentados por varios acreedores, y relativos al cumplimiento o incumplimiento de obligaciones dinerarias. De la poca claridad de la Instrucción 1/1995 se ha derivado la confusión, por lo que ha sido recurrida ante el Tribunal Superior de Justicia de Madrid, Sala de los ContenciosoAdministrativo, por ASNEF. 3.2.1. CALIDAD DE LOS DATOS Además de los requisitos exigidos en los artículos 4º y 28.3 de la LORTAD, la norma primera de la Instrucción 1/1995 regula una serie de limitaciones y fija unos requisitos mínimos: a) Existencia previa de una deuda, cierta, vencida y exigible, que haya resultado impagada. b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación. A juicio de ALONSO MARTÍNEZ "la Instrucción limita con el apartado 1 de su norma primera lo regulado en la propia LORTAD no respetando el principio de jerarquía normativa. Al fijar la existencia previa de una deuda cierta, vencida y exigible que haya Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 15 resultado impagada, como requisito a la inclusión de datos derivados del cumplimiento o incumplimiento de obligaciones dinerarias, está limitando los datos a los relativos al incumplimiento" porque "ningún dato relativo al cumplimiento" puede resultar impagado. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 16 "Seguramente, la Instrucción no ha tratado de eliminar los datos relativos al cumplimiento de obligaciones dinerarias" sino que "se ha referido a los datos relativos al cumplimiento cuando únicamente quería referirse a los relativos al incumplimiento". El apartado 2 de la norma primera señala un principio de prueba, al regular que no podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que aparentemente contradiga alguno de los requisitos indicados en el apartado 1. Se procederá cautelarmente a la desaparición del dato personal en el caso de que se hubiese efectuado su inclusión en el fichero. Esta medida suscitó las críticas del Tribunal de Defensa de la Competencia "Si se borra a alguien por discutir su inclusión, el registro no vale para nada. Hasta que no haya un pronunciamiento judicial, el moroso, que a lo mejor resulta no serlo, ha de permanecer inscrito en las listas" declaraba el Presidente del Tribunal de Defensa de la Competencia D. Miguel Ángel Fernández Ordóñez 3.2.2. CANCELACIÓN Y RECTIFICACIÓN. LA PROBLEMÁTICA DEL SALDO "0" Los derechos de cancelación y rectificación se regulan tanto en el artículo 15 de la LORTAD, como en el artículo 15 del RD 1332/94 y en la norma primera de la Instrucción 1/1995 sin explicar claramente que es cancelar y que es rectificar. "La interpretación más lógica que cabe dar a la no distinción de ambos derechos es que la Ley entiende que si un particular no debe dinero alguno, lo que procede es la cancelación de su inscripción de un registro de morosos, puesto que no lo es, mientras que si existe un dato concreto equivocado en ese registro, como es el nombre, la cuantía de la deuda, el acreedor, etc. lo que procede es la rectificación del error". Este razonamiento se apoya en el artículo 3.1 del Código civil que establece que las normas se interpretarán según el sentido propio de sus palabras. "Y según ese sentido, no se puede estar dado de alta en un registro de morosos cuando no se es moroso porque no se debe nada. Si no hay deuda, no hay mora ni hay moroso" En la práctica se sigue otro criterio, ya que por ejemplo en el RAI los datos que se recogen significan simplemente que en el momento del vencimiento el efecto no fue pagado, y por lo tanto aparecen después del pago como pago posterior que sería una modificación o rectificación. Por su parte, la cancelación se produciría únicamente como consecuencia de altas indebidas o por sentencias judiciales favorables al librado / firmante que se acrediten suficientemente. Estaríamos, en el primer caso ante los denominados saldos "0". Este asunto fue tratado en la Sentencia de 18 de septiembre de 1992 dictada por el Tribunal de Defensa de la Competencia. "Se consideró que no era una práctica abusiva exigir el plazo de cinco años para la permanencia de los saldos "0" en determinados ficheros de control de morosidad. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 17 "Siguiendo el contenido de esta sentencia se ha pretendido que los saldos "0" deben ser olvidados a los cinco años, frente a los seis de los datos adversos, y otras posturas han considerado que por ser el saldo "0" un dato adverso, debe de permanecer seis años". A entender de ALONSO MARTÍNEZ todo depende de la actividad legítima del titular del fichero. 3.2.3. RESPONSABLE DEL FICHERO En los ficheros comunes de acreedores se da la circunstancia peculiar de que la certeza y veracidad del dato económico personal tratado no las tiene el responsable del fichero común, que sin embargo efectúa el tratamiento automatizado del mismo, y sí es responsable de los errores imputables al proceso informático y a la gestión del archivo. Por tanto, la responsabilidad por la inexactitud culpable del dato, será imputable al acreedor, al responsable del fichero o a ambos, dependiendo del origen del problema. La determinación del responsable y domicilio donde las personas con datos incluidos en estos ficheros pueden dirigirse para el ejercicio de los derechos que les reconoce la LORTAD, la lógica nos conduciría al acreedor, aunque cabe la posibilidad de delegar la obligación de información en el responsable del fichero, que tendría que establecer los mecanismos de comunicación-respuesta con el acreedor. La información de los responsables de los ficheros de morosos que tienen los bancos la facilita la Agencia de Protección de Datos cuando se la piden, para facilitar a los interesados la localización de los responsables y entidad a la que se han de dirigir. 3.2.4. AUDITORIAS Según la Instrucción 1/1995 los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias, deberá acreditar la efectiva implantación de determinadas medidas de seguridad, que serán aquellas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 18 "Algunas opiniones afirman que las entidades financieras no se dedican directamente a la prestación de servicios de información sobre solvencia patrimonial y crédito y, por lo tanto, no estarían sujetas a dicha obligación. Otras opiniones indican que dado que las entidades financieras nutren con sus datos otros ficheros de otras entidades que sí prestan estos servicios de información sobre solvencia y crédito, como son el Registro de Aceptaciones Impagadas (R.A.I.) y la Central de Información de Riesgos del Banco de España (C.I.R.B.E.), sí estarían sujetas a lo indicado en la Instrucción." En consulta, formulada por una Entidad de Crédito a la Agencia, relativa a la obligación o no de remitir el Informe de Auditoría por parte de dichas Entidades, la Agencia contestó en el sentido de obligar la Auditoria cuando la Entidad posea o controle materialmente una copia del fichero común. 3.2.5. CESIONES DE DATOS En el informe anual del Defensor del Pueblo correspondiente a la gestión realizada durante el año 1995 se pone de manifiesto la preocupación que comparte con la Agencia en relación con las fórmulas excesivamente amplias y carentes de concreción a través de las cuales las entidades financieras y de crédito vienen solicitando la autorización de los titulares de datos personales, obrantes en unos ficheros para su cesión a terceros. La Agencia se ha puesto en contacto con los principales directivos de las entidades de crédito y de las asociaciones que las agrupan, instando a éstas para que sus asociados se atengan en mayor medida a las prescripciones de la Ley y posibiliten su pleno cumplimiento. 3.2.5.1. Cesiones de datos entre empresas de un mismo Grupo Las Entidades financieras cumplen con el precepto contenido en el artículo 11.3 cuando las personas físicas contratantes, depositantes, prestatarios, acreditados, titulares de las tarjetas, etc.,autorizan a estas para que, sin perjuicio de su derecho a revocar el consentimiento en cualquier momento de lo que también se debería informar, puedan ceder sus datos personales a cualquiera otras empresas en cuyo capital social o fundacional participe la Entidad financiera y para finalidades legítimas de cedente y cesionaria, pero deben cumplir también el artículo 25.1. La redacción de los artículos 11º y 25º es clara. En el artículo 11º se solicita el consentimiento para la cesión y en el 25º se impone la obligación de notificación de la cesión. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 19 3.2.5.2. Servicio de recobro de deudas contratando a empresas externas Se podrían incluir dentro del artículo 27º de la LORTAD, esto es, tratamiento de datos más prestación de servicios y por tanto no se trataría de una cesión de datos strictu sensu. La gestora de recobro no deberá inscribir el fichero por no tratarse de un fichero propio, sino del acreedor. 3.2.5.3. Cesiones de datos a empresas de suministro de electricidad. En cumplimiento de la Resolución de 15 de Diciembre de 1995 de la Dirección General de Energía sobre modelos para la facturación, los recibos serán emitidos por IBERDROLA SA y remitidos por la misma, pero los datos de domiciliación varían y por lo tanto al facilitar los domicilios a los que se remiten los correspondientes recibos, las Entidades financieras están ante un supuesto de cesión de datos autorizado por el contenido del artículo 11.2.c de la LORTAD. 4. CENTRAL DE INFORMACIÓN DE RIESGOS No podemos dejar sin mencionar en este trabajo la Central de Información de Riesgos (C.I.R.) dependiente del Banco de España, ya que aunque no la relacionamos en los ficheros de morosos, por no estar considerado como tal, es una fuente de información primordial y prioritaria para las Entidades Financieras. En la norma novena de la circular 3/1995, de 25 de septiembre, del Banco de España regula el acceso, rectificación y cancelación que ampara a las personas físicas según lo dispuesto en la LORTAD. También regula la suspensión preventiva :La C.I.R. suspenderá la cesión a terceros de los datos sobre los que exista duda fundada sobre su exactitud. Esta normativa podría ser asimilable, sólo en lo que respecta a créditos de personas físicas y a los datos sobre morosidad de dichos créditos, a un fichero común de acreedores. 5. LA INSTRUCCIÓN 2/1995, DE 4 DE MAYO Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 20 Las entidades de crédito actúan como mediadoras en un contrato de seguro, con capacidad de celebrar un contrato de esta naturaleza de cuyo cumplimiento y efectos no responde de manera directa sino que son asumidos por otra de distinta personalidad jurídica. En los contratos de seguros de vida serán las compañías de seguros las autorizadas para la conservación y tratamiento de los datos especialmente protegidos pero bajo ningún concepto podrá aceptarse que la entidad de crédito también manejen y traten datos de esta naturaleza. CONCLUSIÓN El consentimiento del afectado es un principio general de la LORTAD matizado por los demás preceptos de la misma. Sería bueno y correcto que en el caso de que se vaya a incorporar a un registro de morosos al peticionario de un crédito, se incorporase al clausulado del contrato un artículo incluyendo la prestación del consentimiento del prestatario para que en caso de impago proceda la entidad a darle de alta en un registro de morosos. No es malo además que la Entidad sepa que el peticionario del crédito, en su caso, se opone a que se le incluya en un registro de morosos, ya que puede ser a su vez un elemento para evaluar si conviene o no otorgar dicho crédito al peticionario. Tenemos que tener en cuenta que el desarrollo de la actividad económica está relacionado con la mejora en la información sobre solvencia patrimonial y crédito, por lo que debemos encontrar un equilibrio entre este desarrollo y la necesaria protección del ciudadano en el tratamiento de los datos. Mejorar la calidad de los datos debe ser una de las metas a conseguir, ya que las informaciones parciales, incompletas y sesgadas perjudican a la persona peticionaria de los datos. La solución del DNI resolvería muchos errores interpretativos, por coincidencia o por similitud de nombre, pero la contrapartida pudiera ser la creación de un gran fichero que controle un numero indeterminado de datos de muchas personas, pensando en la utilización que se pudiera hacer de el. Debemos tener en cuenta la desprotección en que se encuentran las personas jurídicas, ya que este vacío legal está siendo aprovechado por muchos responsables de ficheros automatizados que tratan datos relativos al cumplimiento o incumplimiento de las obligaciones dinerarias para no facilitar información a las numerosas empresas que figuran inscritas en esos ficheros. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 21 En cuanto a las Instrucciones de la Agencia, lograr que se sometan a los condicionamientos procedimentales de elaboración y de carácter formal que proceda Se tendría que , delimitar el concepto de fuentes accesibles al público. Por último, la aplicación de la Directiva 95/46/CE sería un buen momento para corregir los errores detectados tanto en la Ley como en sus normas de desarrollo. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 22