La AEPD ha incrementado las inspecciones de oficio con el fin de elevar el nivel de protección de los ciudadanos analizando para ello cómo tratan sus datos las organizaciones.
El plan sectorial sobre servicios financieros tiene como base las denuncias que recibe la Agencia relacionadas con el sector de la actividad crediticia, que suponen un tercio del total de las casi 8.000 que se presentan anualmente y que ponen de manifiesto que con frecuencia se descuidan las garantías en materia de protección de datos de los afectados.
Requisitos para el tratamiento
Para que el tratamiento de datos relativos a obligaciones financieras o de crédito se consideren lícitos deben concurrir una serie de requisitos:
- Datos facilitados por el acreedor
- Datos referidos a deudas ciertas, vencidas y exigibles y no reclamadas
- El acreedor debe informar al afectado sobre de la posibilidad de inclusión en dichos sistemas
- El acreedor haya requerido previamente de pago al deudor.
La entidad de información crediticia notificará al afectado la inclusión de sus datos y le facilitará el ejercicio de los derechos de acceso, rectificación o supresión dentro de los 30 días siguientes a la inclusión de la deuda. Durante este plazo los datos estarán bloqueados.
Plazo de conservación de datos
Los datos permanecerán en el sistema mientras exista incumplimiento y como máximo un periodo de 5 años desde que este se produjo. El pago o cumplimiento de la deuda dará lugar a la supresión inmediata de esos datos, sin perjuicio de la obligación de bloqueo prevista.
Los datos bloqueados quedarán a disposición exclusiva del tribunal, el Ministerio Fiscal u otras Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.
Los datos de ese deudor pueden ser consultados por quienes mantengan una relación contractual con este que suponga el abono de una cuantía pecuniaria o éste le hubiera solicitado la celebración de un contrato que implique financiación, pago aplazado o facturación periódica. En todo caso, será preciso informar al afectado acerca de la posible consulta del sistema.
Deber de información y consentimiento del afectado
En caso de que no se celebre el contrato como consecuencia de la consulta realizada, debe informarse al afectado de ese resultado y del sistema de información consultado.
Para el tratamiento de esos datos financieros y de crédito se exige en todo caso el consentimiento del afectado.
Cuando los sistemas de información crediticia fueran mantenidos por entidades distintas de las acreedoras, ambas se considerarán corresponsables del tratamiento de los datos. Y deben asegurarse de que se dan los requisitos exigidos para su inclusión.
Cesión de datos a empresas de recobro, ¿es legal?
Cada vez resulta más habitual que personas con deudas pendientes reciban cartas, faxes, burofaxes e, incluso, llamadas telefónicas de empresas de las que no han oído hablar nunca y con las que, por supuesto, no tienen vinculación contractual alguna, reclamándoles el abono de esas deudas. En ocasiones, estos requerimientos de pago suponen para el ciudadano un auténtico acoso. La situación se agrava cuando quien recibe esa presión en forma de requerimientos no es ya el titular de la deuda, sino la empresa para la que trabaja, sus padres, sus hermanos o hasta sus vecinos.
Reclamación de deudas por empresas de recobro al deudor
Desde el punto de vista de la Protección de Datos, si tenemos una determinada deuda con una empresa, ¿es legal que otras empresas de recobro con las que no nos une ningún tipo de relación nos reclamen continuamente la deuda?; ¿es legal que la empresa acreedora ceda mis datos a otras empresas para que estas reclamen y gestionen el cobro por cuenta de aquella?
En principio, tanto la actuación de la acreedora del crédito como de las empresas de recobro está amparada por la normativa vigente.
En este sentido, existen numerosas resoluciones de la Agencia Española de Protección de Datos en las que se procede al archivo de las denuncias presentadas por los particulares que se sienten “acosados”.
Los criterios empleados por la Agencia para determinar si la actuación de las empresa que cede los datos (la acreedora del crédito) y de las cesionarias (las empresas de recobro) es o no legítima serían, resumidamente, los siguientes: