La Agencia Española de Protección de Datos (AEPD) en la línea emprendida hace unos meses de multar con sanciones históricas en nuestro país, acaba de resolver el procedimiento sancionador originado por 96 denuncias contra la entidad Equifax Ibérica, S.L.

Con una sorprendente extensión tal y como nos viene acostumbrando la AEPD en sus recientes resoluciones, se dilucida la legitimidad del tratamiento de datos que Equifax venía realizando con anterioridad a la entrada en vigor del Reglamento UE 2016/679 General de Protección de Datos consistente en el tratamiento de datos e incorporación a un fichero de “Reclamaciones Judiciales y Organismos Públicos” asociados a supuestas deudas contraídas por personas físicas en su mayoría contraídas, presuntamente con Administraciones Públicas.

«Equifax ofrecía información de solvencia de terceros a sus clientes»

Las reclamaciones versan sobre el tratamiento de los datos personales de los reclamantes efectuado por Equifax y materializado en su incorporación al Fichero de Reclamaciones Judiciales y Organismos Públicos.

Con carácter general, los datos personales objeto de tratamiento vinculados a presuntas deudas figuraban en documentos de las Administraciones Públicas, las entidades u organismos de Derecho Público dependientes de ellas o en resoluciones de los órganos jurisdiccionales que fueron publicados a través de boletines o diarios oficiales, mediante su inserción en los tablones de anuncios ubicados en la sede de las entidades u organismos o en el tablón edictal judicial único, con la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial.

Esa información era obtenida por Equifax para posteriormente utilizarla en sus servicios. Es decir, a partir de lo que antes se denominaban “fuentes de acceso público” Equifax obtenía dicha información para sus propios fines: ofrecer información de solvencia de terceros a sus clientes.

«La AEPD en una compleja resolución sanciona a Equifax por varios incumplimientos»

Este fichero tenía su base jurídica en el interés legítimo de las entidades que necesitan conocer las deudas o reclamaciones de una persona física o jurídica para dar seguridad al tráfico mercantil, prevenir la morosidad y valorar la solvencia patrimonial de dichas personas, con las que tienen o van a tener relaciones comerciales, de crédito y de pago periódico o aplazado. Una finalidad que la AEPD no ha considerado suficiente.

La AEPD en una extensísima y jurídicamente compleja resolución sanciona a Equifax por varios incumplimientos vinculados a los mismos hechos, negando que sea lícita la obtención de dichos datos por no ser la misma finalidad la que tenía la publicación de la citada información en boletines y diarios oficiales que la realizada por Equifax . Partiendo y cuestionando la vigencia misma del concepto de “fuentes de acceso público”, condiciona el uso de la información extraída de determinadas fuentes a la ponderación de su uso posterior y la posible compatibilidad del tratamiento inicial.

Es decir, en este caso, se incumple, a juicio de la AEPD el principio de limitación de la finalidad establecido en el RGPD en su artículo 5.1.b). Equifax realizaba una evaluación de la solvencia de las personas físicas y la publicación de determinadas resoluciones en anuncios y boletines oficiales obedecen a un fin de interés público. Ambos fines son incompatibles a juicio de la AEPD.

«Incurre en una infracción del principio de licitud»

A partir de aquí y como infracciones derivadas de la anterior, Equifax incurre en una infracción del principio de licitud (artículo 6.1 en relación con el 5.1.a) (principio de licitud, lealtad y transparencia). Ya que estando destinada la información sobre las personas a informar sobre la solvencia, Equifax no dispone de mecanismos para actualizar y mantener al día esa información ni para identificar indubitadamente a los supuestos deudores.

Igualmente, insistimos según el criterio de la AEPD Equifax vulnera otros principios del RGPD que está obligado a respetar, tales como el de exactitud y minimización de datos (artículos 5.1.d, y 5.1.c) y, el responsable del tratamiento no está en condiciones (por no disponer de la información relativa al domicilio de todos los titulares cuyos datos son objeto de tratamiento) de cumplir obligaciones que constituyen un derecho esencial de los afectados para garantizar la transparencia del tratamiento (artículo 14 RGPD).

A pesar de las alegaciones de Equifax, y muy especialmente la que aludía a que su actividad, se ha venido realizando mucho antes de la entrada en vigor del RGPD con conocimiento de la propia AEPD y con el conocimiento de su modus operandi. La AEPD las desestima y se mantiene firme en el catálogo de infracciones.

«Se ordena la supresión de todos los datos personales incorporados al fichero»

Puesto que las infracciones detectadas no solo se refieren a esos noventa y seis denunciantes sino que afectan a todas las personas incorporadas al fichero mencionado la AEPD. La AEPD, además de la sanción económica de un millón de euros, prohíbe seguir realizando el citado tratamiento ordenando la supresión de todos los datos personales incorporados al mencionado fichero.

Lo que sorprende no solo de esta, sino de otras resoluciones anteriores contra grandes compañías (Vodafone, CaixaBank, BBVA, etc.) es que en empresas y sectores habitualmente muy regulados y exigentes, con departamentos de cumplimiento normativo rigurosos y solventes, también existen incumplimientos de la normativa (algunos discutibles) y deben servir de ejemplo al resto de las compañías que gestionan datos.

Puesto que es presumible que todas estas resoluciones hayan sido recurridas ante la Audiencia Nacional, habrá que esperar un tiempo hasta conocer si los tribunales ratifican las citadas sanciones. O, por el contrario, como ha sucedido en algunas ocasiones, matizan la interpretación y aplicación del RGPD realizada por la AEPD y revocan las millonarias sanciones.

Sobre la autora

Paz Martín es abogada por el Ilustre Colegio de Abogados de Madrid. Cuenta con un Master en Práctica Jurídica, un Master en Dirección de Comunicación y Marketing en el Instituto de Directivos de empresa, un Curso de Especialización en Propiedad Industrial e Intelectual y un Curso de Compliance Officer.

Además cuenta con una dilatada formación en protección de datos y es Delegado de Protección de Datos de varias empresas habiendo superado los exámenes de la Asociación Española de Privacidad para obtener la certificación ACP. Cuenta con un Curso de Esquema Nacional de Seguridad (ENS). Igualmente, cuenta con un Curso superior en Ciberseguridad: Seguridad desde el punto de vista empresarial y técnico por Thomson Reuters (Aranzadi).

Es Auditor Jefe ISO 27001 y Especialista implantador ISO 27001 por AENOR. Y miembro de la Asociación Española de Profesionales de la Privacidad (APEP), ISMS Forum y ENATIC.

Su carrera profesional abarca las materia de protección de datos y nuevas tecnologías, propiedad industrial y propiedad intelectual.