La tarea de gestión de cobros dentro de una empresa es una función que no está bien vista y resulta complicada ya que afecta a la tesorería de esa empresa. Últimamente cada vez existen más empresas especializadas en este tema. Pero sigue existiendo la idea de acosos y desavenencias.

De hecho, una gran parte de las denuncias presentadas ante la AEPD o ante las oficinas de consumo se refieren las empresas que para lograr el cobro de un importe pendiente usan malas prácticas.

Voy a analizar en este post el tipo de datos personales que deben gestionar esas empresas y los efectos negativos sobre los afectados cuando esos datos son comunicados o cedidos a terceros (ficheros de morosos o empresas de gestión de cobros).

Requisitos para recopilar información personal referida a deudas

Antes de poder gestionar el cobro de una deuda es necesario:

  • Comprobar el motivo de ese impago.
  • Recoger todos los documentos que justifiquen la existencia de esa deuda.
  • Recopilar todo tipo de información personal sobre el deudor para poder elaborar un perfil del mismo y establecer la manera de realizar el cobro.

Para tratar toda esa información personal recopilada es obligatorio cumplir los requisitos exigidos en el RGPD y en la nueva LOPDGDD.

La LOPDGDD indica los requisitos que deben cumplirse para que la recogida, tratamiento y almacenamiento de datos personales sea legal (art. 20):

  • Los datos personales debe proporcionarlos el acreedor o quien actúe por su cuenta.
  • Los datos estén referidos a deudas que sea exigibles y hayan vencido y cuya cuantía no se haya reclamado judicial o administrativamente por parte del deudor.
  • En el momento de solicitar el pago, el acreedor informe al deudor sobre la inclusión de sus datos en ficheros de solvencia patrimonial y crédito, especificando en cuáles será incluido.
  • Esos datos personales permanezcan en el sistema solo mientras dure el incumplimiento, con un plazo máximo de cinco años desde la fecha de vencimiento de la deuda correspondiente.
  • Solo podrá consultar en el sistema los datos relativos a ese deudor aquel que tenga una relación contractual con el mismo que suponga el abono de una cantidad dineraria o cuando exista un contrato entre ambos que conlleve una financiación, facturación periódica o pago aplazado. Esto ocurre, por ejemplo, en los casos indicados en la ley de contratos de crédito al consumo y en la ley de contratos de crédito inmobiliario.
  • Si finalmente no se realiza el contrato o, como resultado de la consulta realizada, se deniega la solicitud de celebración, quien ha realizado esa consulta debe informar al afectado del resultado de la misma.

Exactitud de los datos

El RGPD exige que los datos personales sean exactos y estén actualizados. Deben rectificarse o suprimirse inmediatamente aquellos datos personales que sea inexactos para los fines para los que se realiza el tratamiento.

Por ejemplo, puede darse el caso de que exista una deuda pero el presunto deudor no sea responsable de la misma. Entonces no podemos ceder sus datos personales a un fichero de morosos o a una empresa de gestión de cobros ni requerirle el pago.

Esta situación puede producirse por distintos motivos:

  • Fallos administrativos
  • Errores de la empresa financiera
  • Incidencias técnicas, en atención al cliente o logísticas

También debemos tener en cuenta nuestro Código Civil, que establece que el vendedor, en un contrato de compraventa, está obligado a entregar el producto o servicio adquirido y el comprador a abonar una cantidad establecida, normalmente en dinero. En caso de que el vendedor no entregue el objeto del contrato puede originar la resolución del contrato y ese acreedor se convertirá en deudor. Aquí tampoco podría catalogarse al deudor como tal y ceder sus datos para gestionar el cobro a terceros.

Documentos que justifican la deuda

Para poder demostrar que esa deuda es real es necesario aportar determinados documentos que contienen datos personales sometidos a la normativa de Protección de datos. Entre esos documentos están:

  • Contratos
  • Cartas
  • Facturas
  • Albaranes de entrega
  • Recibos
  • Cheques

Información personal recogida del propio deudor

Existe una lista de datos que las empresas de gestión de cobros están solicitando al deudor para efectuar un análisis de cobrabilidad y elaborar perfiles de esos deudores. Dentro de esos datos hay muchos de carácter personal:

  • Nombre y apellidos
  • DNI
  • Número de la Seguridad Social
  •  Dirección y teléfono
  • Características personales
  • Circunstancias sociales
  • Persona de contacto (incluyen datos personales de una tercera persona)
  • Vendedor que realizó la operación
  • Antigüedad de las relaciones comerciales
  • Estados de cuenta de los últimos 18 meses
  • Facturación de los últimos 12 meses
  • Límite de crédito concedido
  • Situación actual del riesgo
  • Pedidos enviados
  • Pedidos pendientes de envío
  • Giros domiciliados enviados a su cuenta bancaria en los últimos 30 días
  • Efectos, letras, pagarés y cheques pendientes de cobro
  • Historial de pagos e incidencias
  • Forma de atender los pagos
  • Riesgo de crédito del deudor
  • Hábito de pagos y cumplimiento de promesas

Seguridad del tratamiento

Con la nueva LOPDGDD ya no se establecen los tres niveles de seguridad según el tipo de datos que se manejan (bajo, medio y alto). Debe ser el propio responsable o encargado del tratamiento quien determine el nivel de seguridad aplicable al tratamiento que realice a criterio propio. Sin embargo, sí se indican una serie de datos considerados sensibles y sujetos a una especial protección: datos sobre opiniones políticas, creencias religiosas, raciales o étnicos, sindicales, genéticos, de salud, biométricos y sexuales.

Por su parte, el RGPD recoge un conjunto de medidas para garantizar la seguridad de los datos personales, con independencia de su importancia:

  • Cifrado y seudonimización de datos personales
  • Disposición de asegurar la disponibilidad, confidencialidad, integridad y resiliencia de los sistemas de información
  • Competencia para restablecer el rápido acceso a los datos personales en caso de incidentes de seguridad
  • Procedimiento regular para valorar y evaluar la eficacia de las medidas de seguridad técnicas y organizativas implantadas

Los niveles de seguridad establecidos en la anterior normativa de Protección de datos pueden servirnos como referencia para realizar los tratamientos. Por ejemplo, las entidades sanitarias poseen datos de salud, considerados especialmente protegidos y clasificados con un nivel de protección alto en la anterior ley. En el caso de que se cediera o comunicara algún dato sobre la salud de una persona al reclamarle una deuda, se vulneraría un derecho fundamental reconocido en la Constitución.

Recopilación de la información

Con la actual normativa se establecen tres fuentes principales de recogida de datos personales:

  • Propio interesado: El RGPD exige que el interesado haya dado su consentimiento expreso para que el tratamiento sea lícito. Ese consentimiento debe ser para el tratamiento con unos fines determinados. También se exime de responsabilidad al responsable del tratamiento cuando los datos los haya facilitado el propio interesado y sean inexactos.
  • Fuentes públicas: es posible recopilar datos de fuentes de acceso público pero debe informarse a los afectados sobre esa fuente de donde se han obtenido sus datos. La LOPDGDD solo se refiere a la obtención de datos personales de fuentes de acceso público por los partidos políticos en periodos electorales (regulación que ha sido recurrida ante el TC y declarada inconstitucional). Ante la falta de regulación específica, habrá que considerar lo establecido en la anterior ley, en la que se consideraban fuentes de acceso público:
    • Guías telefónicas
    • Censo promocional
    • Listas de personas pertenecientes a grupos profesionales
    • Boletines y diarios oficiales
    • Medios de comunicación
  • Información obtenida sin consentimiento del interesado: en ese caso, el responsable del tratamiento debe informar al interesado sobre quién ha obtenido esa información, su finalidad y los derechos que tiene este para garantizar su privacidad. Debe facilitarse también al interesado un medio sencillo para que este pueda acceder a la información obtenida.

Infracciones

Las infracciones más comunes en materia de Protección de datos cometidas por las empresas de gestión de cobros son:

  • No informar al interesado sobre el tratamiento de sus datos
  • Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas
  • La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal
  • El impedimento o la obstaculización del ejercicio de los derechos ARCO
  • El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal
  • La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello
  • La recogida de datos en forma engañosa o fraudulenta
  • No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento

Durante las últimas décadas han proliferado empresas que compran deuda a entidades financieras y de crédito para gestionar el pago, empresas que ofrecen los servicios de recobro y bufetes de abogados con departamentos especializados en negociar por vía amistosa o judicial el pago. En cualquier caso, el afectado tiene el derecho de saber cuándo y a quién se transfieren sus datos personales con motivo de una deuda aportando la documentación que lo acredite. Existen casos de llamadas telefónicas en las que una persona informa de una presunta deuda que ha pasado por múltiples acreedores. A pesar de afirmar que dicha deuda está acreditada ante Notario, hasta el momento pocas empresas han facilitado la documentación al presunto deudor.

Tanto la ley europea como la española están siendo duras contra prácticas poco convencionales de gestión de cobro, obligando a las empresas a ser más transparentes y dotando al afectado de mayores garantías para hacer frente a sus derechos.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Hola buenas tardes, mi pregunta es la siguiente, la comunidad de propietarios a puesto en el tablón de anuncios, los nombres de las personas junto con los importes de las deudas contraídas, el pasado mes las quitaron, se dieron cuenta que seguían hay desde lo de la ley de protección de datos, ahora en la reunión se estuvo comentando que pusieron lo nombre cuando estaba totalmente prohibido y se dice en la reunión que no es incierto que solo estaba puesto el piso con los importes y eso es falso no podemos demostrarlo ya que ya no están, se puede denunciar aunque no estén, muchas gracias.

    1. Buenos días Juani, para denunciarlo es necesario tener pruebas de que se realizó esa publicación en el tablón de anuncios. Sin pruebas, la AEPD no podrá hacer nada.

  2. Buenos días;

    Una aseguradora médica ha interpuesto un procedimiento monitorio contra mi por no dar de baja ‘en plazo’ la póliza y por lo tanto por impago.
    No me habían informado de este impago ni de que han cedido mis datos a una empresa de recobro. Tiene la aseguradora la obligación de solicitar el impago de manera fehaciente antes de ceder mis datos?

    Muchas gracias