La AEPD ha incrementado las inspecciones de oficio con el fin de elevar el nivel de protección de los ciudadanos analizando para ello cómo tratan sus datos las organizaciones.

El plan sectorial sobre servicios financieros tiene como base las denuncias que recibe la Agencia relacionadas con el sector de la actividad crediticia, que suponen un tercio del total de las casi 8.000 que se presentan anualmente y que ponen de manifiesto que con frecuencia se descuidan las garantías en materia de protección de datos de los afectados.

Requisitos para el tratamiento

requisitos-tratamiento-datos-financieros

Para que el tratamiento de datos relativos a obligaciones financieras o de crédito se consideren lícitos deben concurrir una serie de requisitos:

  • Datos facilitados por el acreedor
  • Datos referidos a deudas ciertas, vencidas y exigibles y no reclamadas
  • El acreedor debe informar al afectado sobre de la posibilidad de inclusión en dichos sistemas
  • El acreedor haya requerido previamente de pago al deudor.

La entidad de información crediticia notificará al afectado la inclusión de sus datos y le facilitará el ejercicio de los derechos de acceso, rectificación o supresión dentro de los 30 días siguientes a la inclusión de la deuda. Durante este plazo los datos estarán bloqueados.

Plazo de conservación de datos financieros

Los datos permanecerán en el sistema mientras exista incumplimiento y como máximo un periodo de 5 años desde que este se produjo. El pago o cumplimiento de la deuda dará lugar a la supresión inmediata de esos datos, sin perjuicio de la obligación de bloqueo prevista.

Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.

Los datos de ese deudor pueden ser consultados por quienes mantengan una relación contractual con este que suponga el abono de una cuantía pecuniaria o éste le hubiera solicitado la celebración de un contrato que implique financiación, pago aplazado o facturación periódica. En todo caso, será preciso informar al afectado acerca de la posible consulta del sistema.

Deber de información y consentimiento del afectado

En caso de que no se celebre el contrato como consecuencia de la consulta realizada, debe informarse al afectado de ese resultado y del sistema de información consultado.

Para el tratamiento de esos datos financieros y de crédito se exige en todo caso el consentimiento del afectado.

Cuando los sistemas de información crediticia fueran mantenidos por entidades distintas de las acreedoras, ambas se considerarán corresponsables del tratamiento de los datos. Y deben asegurarse de que se dan los requisitos exigidos para su inclusión.

Cesión de datos a empresas de recobro, ¿es legal?

Cada vez resulta más habitual que personas con deudas pendientes reciban cartas, faxes, burofaxes e, incluso, llamadas telefónicas de empresas de las que no han oído hablar nunca y con las que, por supuesto, no tienen vinculación contractual alguna, reclamándoles el abono de esas deudas. En ocasiones, estos requerimientos de pago suponen para el ciudadano un auténtico acoso. La situación se agrava cuando quien recibe esa presión en forma de requerimientos no es ya el titular de la deuda, sino la empresa para la que trabaja, sus padres, sus hermanos o hasta sus vecinos.

Reclamación de deudas por empresas de recobro al deudor

Desde el punto de vista de la Protección de Datos, si tenemos una determinada deuda con una empresa, ¿es legal que otras empresas de recobro con las que no nos une ningún tipo de relación nos reclamen continuamente la deuda?; ¿es legal que la empresa acreedora ceda mis datos a otras empresas para que estas reclamen y gestionen el cobro por cuenta de aquella?

En principio, tanto la actuación de la acreedora del crédito como de las empresas de recobro está amparada por la normativa vigente.

En este sentido, existen numerosas resoluciones de la Agencia Española de Protección de Datos en las que se procede al archivo de las denuncias presentadas por los particulares que se sienten “acosados”.

Los criterios empleados por la Agencia para determinar si la actuación de las empresa que cede los datos (la acreedora del crédito) y de las cesionarias (las empresas de recobro) es o no legítima serían, resumidamente, los siguientes:

Existencia de contrato entre acreedora y empresa de recobro

Las empresas de gestión de recobros se consideran “encargadas del tratamiento” en relación con el acreedor responsable, lo que legitima que por las mismas se recaben los datos del deudor.

En consecuencia, será necesario que entre la empresa titular del crédito (aquella con la que el particular contrató y a la que realmente le debe alguna cantidad) y la de recobro exista un contrato cuyo objeto esté constituido o comprenda la realización de un servicio de gestión de recuperaciones de deuda en los asuntos que le sean atribuidos.

Acreditación del consentimiento por el responsable del fichero

La empresa acreedora, aquella con la que contratamos y a la que se le debe algún importe, para estar facultada para comunicar los datos a una empresa de recobro, primero debe asegurarse de que cuenta con el consentimiento del afectado para el tratamiento de sus datos personales.

El incumplimiento de este requisito daría lugar a que la actuación de la empresa responsable del fichero no estuviera amparada por la normativa y pudiera ser sancionada.

ejemplos proteccion de datos

Una empresa de telefonía había cedido los datos personales de un presunto cliente, y de la deuda asociada a este, a una empresa de Recobro, con la que había firmado un contrato pero el denunciante niega haber firmado ningún contrato con la empresa telefónica.
Resolución 2487/2015, de 28 de septiembre, de la AEPD

Llamadas y cartas reclamando mi deuda a mis familiares, vecinos, o compañeros de trabajo

Aquí la cosa cambia. Si yo tengo una deuda tendré que asumir que empresas que prestan servicios de recobro para mi acreedora me la reclamen. Ahora bien, lo que no tenemos que soportar es que mi acreedora o sus empresas de gestión de recuperaciones “acosen” a mis conocidos.

Esto supone una infracción de la normativa de Protección de Datos que establece la obligación de secreto profesional para responsables y encargados del tratamiento.

sancion proteccion de datos

Procedimiento Sancionador incoado por la Agencia Española de Protección de Datos (PS/97/2010) frente a un Banco en el que se le impone una multa de 80.000 € por una infracción del deber de secreto recogido en el art. 10 LOPD.

Evaluación de solvencia patrimonial

En España la información con la que cuentan las entidades financieras para evaluar el riesgo del deudor es, en su mayor parte, la ofrecida por el mismo deudor que se centra básicamente en su patrimonio, ingresos y cargas. Así mismo, también las entidades pueden acceder a los denominados ficheros de solvencia patrimonial gestionados por entidades privadas (ASNEF-EQUIFAX) o pública como es el caso de CIRBE (Central de Información de Riesgos del Banco de España).

Hay que destacar la diferencia entre dos tipos de ficheros:

  • Los ficheros de solvencia negativa publican un perfil desfavorable de la persona, contienen las situaciones relativas a las incidencias en los pagos, son los comúnmente conocidos como ficheros de morosos.
  • Los ficheros de información positiva brindan una imagen favorable de la solvencia de las personas: historial de cumplimiento de obligaciones contraídas, uso de tarjetas de crédito sin incidencias y niveles de endeudamiento global de los consumidores.

En nuestro país prevalecen los ficheros de solvencia negativos, es decir, aquellos que se limitan a informar sobre el deudor incumplidor.

Recomendaciones en la normativa de Protección de Datos

La LOPD establece una serie de restricciones respecto de los ficheros de solvencia patrimonial, exigiendo el consentimiento del interesado, salvo que los datos procedan de fuente accesible al público.

Sin embargo, podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos.

En el nuevo RGPD y en su desarrollo normativo en España se establece la obligación de estas empresas que realicen tratamientos de datos finanacieros y de crédito de nombrar un Delegado de Protección de Datos y de realizar una Evaluación de impacto en la Protección de Datos.

Preguntas frecuentes

¿Qué derechos tiene una persona frente al tratamiento de sus datos financieros, crediticios y comerciales?
Las personas cuyos datos personales se encuentren en bancos de datos y en archivos de entidades públicas y privadas principalmente tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas. Es decir, a ejercer los derechos ARCO.
¿Con qué mecanismos cuenta el titular de un dato crediticio, comercial o financiero para hacer exigibles sus derechos?

Realizar una consulta: Permite al titular conocer la información que de él tienen los diferentes bancos de datos y el uso que se está haciendo de la misma. Quien maneja el banco de datos tiene 10 días hábiles para dar respuesta a la consulta.

Presentar reclamaciones: Permite al titular del dato solicitar correcciones o actualizaciones sobre la información contenida en el banco de datos.

Si el titular no se encuentra satisfecho con la respuesta dada por el operador, puede interponer una acción de tutela para amparar su derecho fundamental a la Protección de Datos, o iniciar una acción judicial para debatir lo relacionado con la obligación reportada como incumplida.

¿Quién vigila y sanciona a las entidades que hacen un tratamiento indebido de la información de carácter financiero, crediticio o comercial?

La AEPD cumple funciones de vigilancia y sanción en materia de tratamiento de datos personales de carácter financiero, crediticio o comercial de las entidades que se encuentran en el sector financiero.

¿Qué puedo hacer si me incluyen en un fichero de morosos? ¿Cuando se puede ejercer el derecho de rectificación o el derecho de cancelación?

La inclusión de datos de carácter personal en un fichero de morosos sólo podrá efectuarse cuando exista una deuda cierta, vencida y exigible, que haya resultado impagada y cuyo pago se haya requerido previamente por el acreedor al deudor. El tiempo que podrá permanecer en este fichero no podrá ser superior a 6 años.Si usted considera que no debe ser incluido en el fichero de morosos, bien porque ha procedido al pago de la deuda, o bien porque la deuda que consta a su nombre en el mismo es inexacta o inadecuada, podrá ejercer el derecho de rectificación o de cancelación.

Para ejercer estos derechos deberá dirigirse por escrito al responsable del fichero solicitando que cancele sus datos y los elimine, o bien que rectifique los datos erróneos.

En el plazo de diez días deberán contestarle, en caso de que no lo haga o de que sea denegada su solicitud podrá presentar un escrito de reclamación ante la AEPD, que deberá ir acompañado de la documentación acreditativa de haber solicitado la cancelación de datos ante la entidad que se trate.

Así las cosas, es fundamental que todos los ciudadanos seamos conscientes de que somos titulares de nuestros datos, muchas veces comerciales, crediticios o financieros, y de que estos se encuentran amparados por la ley para hacer valer nuestros derechos frente a los mismos.

Y tú, ¿cómo crees que están tratando tus datos financieros? Coméntame cualquier duda.

¿Necesitas cumplir la LOPD?

Tratamiento de datos financieros y de crédito con el nuevo RGPD
4.8 (95.71%) 14 votos