La LOPDGDD regula en su artículo 20 el tratamiento de los datos de carácter personal relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia (ficheros de morosos).
Este artículo se encuentra dentro del Título IV, sobre Disposiciones aplicables a tratamientos concretos, dentro de los cuales se establecen tratamientos de prevalencia del interés legítimo del responsable, salvo prueba en contrario, cuando se lleven a cabo una serie de requisitos.
En ese sentido, este tratamiento es lícito en base a la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.
Requisitos para la inclusión de los datos en los sistemas comunes de información crediticia
La LOPDGDD regula los requisitos necesarios para la inclusión de los datos personales en los sistemas comunes de información crediticia:
- Haber sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
- Se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.
- El acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas y sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del RGPD.
- Los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de 5 años, contados desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito. En ese sentido, si la deuda es saldada, debe ser inmediatamente dado de baja del sistema. La LOPDGDD modifica el plazo, considerando que el artículo 38.b) del RLOPD establecía un plazo de 6 años para la inclusión en estos ficheros de datos de carácter personal, desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
- Los datos referidos a un deudor determinado solamente puedan ser consultados:
- Cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria
- Cuando la persona hubiera solicitado financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.
- Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento de los datos, el sistema informará a quienes pudieran consultarlo acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.
6. Si se deniega la solicitud de celebración del contrato o no llega a celebrarse como consecuencia de consultar el sistema de información crediticia, el consultante informará al afectado de dicha circunstancia.
Asimismo, encontramos otro requisito en la Disposición adicional sexta de la LOPDGDD que establece que sólo se incorporarán en los sistemas de información de solvencia crediticia las deudas de más de 50 euros con algún prestador de servicios. Sin embargo, esta cantidad podrá ser modificada por el Gobierno mediante real decreto.
Responsable del tratamiento en los sistemas de información crediticia
La LOPDGDD establece que las entidades que mantengan el sistema y las acreedoras tendrán la condición de corresponsables del tratamiento de los datos de sus deudores, siendo de aplicación lo establecido por el artículo 26 del RGPD sobre la corresponsabilidad.
El acreedor deberá garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo en caso de inexistencia o inexactitud de dichos requisitos.
Exclusión del interés legítimo
Cuando la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales relativas al deudor y obtenidas de otras fuentes para elaborar un perfil mediante la aplicación de técnicas de calificación crediticia, la presunción de licitud no será aplicable.
Al respecto, el RGPD define la elaboración de perfiles como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.
Mariola Pineda
Áudea Seguridad de la Información