Tuesday, 22 June 2021

Requisitos para el tratamiento de datos personales por los sistemas de información crediticia bajo la ley 3/2018 de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales

VolverSituación legal actual

Pese a que la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, (en adelante “LOPDGDD”), entró en vigor el 7 de diciembre de 2018 derogando, expresamente, la normativa anterior, y aunque esta establece claramente ciertas diferencias en cuanto al a los requisitos para incorporar los datos personales de los interesados en los denominados por la LOPDGDD, “Sistemas de Información Crediticia”, lo cierto es que en la práctica los juzgados españoles, han seguido aplicando la normativa anterior en determinados casos relacionados con el cumplimiento de dichos requisitos.

Para realizar la comparativa objeto de nuestro análisis, debemos hacer referencia a la normativa anterior en materia de protección de datos: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, (en adelante “LOPD”), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, (en adelante el “Reglamento”). Las dos normas anteriores de forma conjunta serán denominadas, en adelante, (la “Normativa Anterior”).

Sobre la inaplicabilidad de la Normativa Anterior a la situación actual

La LOPDGDD fue publicada en el Boletín Oficial del Estado del Jueves 6 de diciembre de 2018, entrando en vigor el día 7 de diciembre de 2018, según establece la Disposición Adicional decimosexta de la misma ley.

Disposición final decimosexta. Entrada en vigor.

La presente ley orgánica entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado.

La disposición Derogatoria Única de la LOPDGDD aclara el alcance de los efectos derogatorios de la norma:

Disposición derogatoria única. Derogación normativa.

1. Sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria cuarta, queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

2. (…)

3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica.

Al haber sido derogada la LOPD de forma expresa por la LOPDGDD, y establecer el apartado 3 de dicha disposición una referencia general a cualquier disposición que pudiera contradecir, oponerse o resultar incompatible con lo dispuesto en la LOPDGDD, que cualquier norma anterior que contradiga la LOPDGDD, carecería de toda aplicabilidad actualmente.

Requisitos establecidos en la LOPDGDD para incorporar datos personales en los Sistemas de Información Crediticia

Presunción legal de legitimación del tratamiento

Los requisitos aplicables actualmente, están incorporados en el artículo 20 de la LOPDGDD, el cual, establece cómo principio básico, una presunción legal, “iuris tantum”, (salvo prueba en contrario), de la licitud del tratamiento de datos, siempre que se cumpla con los requisitos que el propio artículo establece. Sin embargo, los requisitos establecidos en la LOPDGDD no son exactamente los mismos que establecía la Normativa Anterior.

Artículo 20 (LOPDGDD). Sistemas de información crediticia.

1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, finan-cieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos: (…).

Por ello, a la hora de determinar la posible vulneración de los derechos del interesado, por la realización de estos tratamientos, debemos partir, de la presunción inicial de legi-timidad del tratamiento de los datos que pudiera realizar el acreedor, salvo que se acre-dite por el interesado el incumplimiento de alguno de los requisitos que recoge el citado artículo y que se enumeran más adelante.

Anteriormente, el artículo 38 del Reglamento establecía la posibilidad de realizar estos tratamientos, igualmente, en el caso de que concurriesen determinados requisitos

Condición de la deuda cómo cierta, vencida y exigible y “no discutida”

Artículo 201.b) (LOPDGDD):

b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de reso-lución de disputas vinculante entre las partes.

Este requisito, a diferencia de lo que sucedía según la Normativa Anterior, parece impli-car que, para poder tener una deuda por discutida, es necesario que se den las situaciones anteriores, debiendo acreditarse, por tanto, que la deuda haya sido objeto de una recla-mación administrativa, judicial, o de un procedimiento arbitral de otro tipo que vincule a las partes.

Así, la mera negociación sobre la deuda entre las partes, no parece que sea considerada suficiente por la norma para poder considerar incumplido este requisito.

Información sobre el tratamiento en el contrato “O” en el requerimiento de pago

c) Que el acreedor haya informado al afectado en el contrato O en el momento de requerir el pago acerca de la posibilidad de inclusión en di-chos sistemas, con indicación de aquéllos en los que participe.

El cumplimiento de este requisito contenido en el apartado c) del artículo 20.1. de la LOPDGG, resulta especialmente controvertido en la actualidad, pues al tratar sobre el requisito de informar sobre la posible incorporación de los datos del interesado en un Sistema de Información Crediticia, no exige el cumplimiento de forma conjunta tanto en el momento de la contratación, como en el momento del requerimiento previo a tal in-clusión, al utilizarse la conjunción disyuntiva “O”, frente a la conjunción copulativa “Y” que utilizaba el Reglamento en su artículo 39, por lo que, actualmente, debe enten-derse, sin ningún género de duda, que desde la entrada en vigor de la LOPDGDD, la misma habilita a optar entre ambas posibilidades.

Sin embargo, hasta ahora, nuestros tribunales venían considerando, de forma generaliza-da, como obligatorios ambos requisitos, aplicando la Normativa Anterior, en particular los artículos 38 y 39 del Reglamento, ya derogados por la LOPDGDD.

No obstante, actualmente, empieza a haber pronunciamientos, aunque aún sólo a nivel de las Audiencias Provinciales, que parecen haber entendido la voluntad de cambio del le-gislador decantándose por la suficiencia de uno solo de los dos requisitos.

Debemos hacer mención a la sentencia de apelación (Audiencia Provincial de Asturias), sec. 7ª, S 13-01-2021, nº 4/2021, REC. 307/2020, la cual ha determinado tanto la aplicabilidad del artículo 20.1.c) de la LOPDGDD frente al artículo 38 y 39 del Reglamento, como el carácter alternativo de los dos requisitos de información establecidos en el artículo 2.1. c).

Le asiste la razón a la parte apelante, extremo sobre el que nada se razo-na en la recurrida, en que habiéndose introducido los datos del demandan-te en el fichero Badexcug el 5 de mayo de 2019, resulta de aplicación lo dispuesto en el art. 20 de la Ley Orgánica 3/2018 (EDL 2018/128249), de tal modo que, a tenor de lo dispuesto en su apartado c), a los efectos de cumplir con el requisito de advertir al afectado por el contrato de su in-clusión en los ficheros de morosos, basta con haberle informado en el contrato, sin necesidad de realizar también tal advertencia con carácter previo al ser requerido de pago, y desde esta perspectiva cobra especial transcendencia el que el demandante haya tenido acceso y posibilidad de conocer las condiciones generales del contrato de préstamo del que derivó la inclusión de sus datos en el fichero Badexcug (…).

Teniendo en cuenta la situación anterior, siempre que un particular o una empresa se vean envueltos en una situación en la que sea necesario valorar la concurrencia de estos requisitos, la mejor opción es contactar con expertos en la materia, como los que forman el equipo del Departamento de Derecho Digital (TIC) de Belzuz Abogados, abogados expertos en derecho de las nuevas tecnologías.

Igor Orozco Román  Igor Orozco Román

Digital Law department | Madrid (Spain)

 

Belzuz Abogados SLP

This publication contains general information not constitute a professional opinion or legal advice. © Belzuz SLP, all rights are reserved. Exploitation, reproduction, distribution, public communication and transformation all or part of this work, without written permission is prohibited Belzuz, SLP.

Madrid

Belzuz Abogados - Madrid office

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

This email address is being protected from spambots. You need JavaScript enabled to view it.

Lisbon

Belzuz Abogados - Lisbon office

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisbon

+351 21 324 05 30

+351 21 347 84 52

This email address is being protected from spambots. You need JavaScript enabled to view it.

Oporto

Belzuz Abogados - Oporto office

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

This email address is being protected from spambots. You need JavaScript enabled to view it.

Associations

  • 1_insuralex
  • 3_chambers_global_2022
  • 4_cle
  • 5_chp
  • 6_aeafa