Loading...

Los sistemas de información crediticia bajo el Reglamento Europeo de Protección de Datos

Cada vez estamos más cerca de la entrada en vigor del Reglamento Europeo de Protección de datos, que tendrá lugar el 25 de mayo de 2018. Todas las organizaciones y especialmente las empresas van siendo más conscientes de los enormes cambios que traerá la aplicación de esta norma.

Pero va siendo hora ya de bajar al detalle y analizar el impacto que la nueva regulación de protección de datos tendrá sobre los diversos sectores de actividad económica. Uno de ellos es el de los sistemas de información crediticia, que es de enorme relevancia práctica, al estar desde siempre en la primera posición de la actividad de la Agencia Española de Protección de Datos y en la preocupación de los interesados. Como es de sobra sabido, el Reglamento Europeo establece principios y reglas generales que no entran en el detalle concreto de la determinación de la regla de derecho, ni siquiera en los escasos supuestos que se refieren a específicos.

Los sistemas de información crediticia no son una de esas “situaciones específicas de tratamiento” que han merecido la atención especial de legislador europeo. De hecho, no hay referencia alguna en el Reglamento a la información crediticia. Pero tampoco el legislador español parece estar excesivamente interesado en el tema. El Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, aprobado recientemente por el Consejo de Ministros y enviado a las Cortes Generales, contiene solo una regulación limitada y manifiestamente mejorable en algunos aspectos, de los llamados ficheros “negativos”, es decir, de los relativos a situaciones de incumplimiento de obligaciones, conocidos generalmente como “ficheros de morosidad”. En cambio, guarda silencio total sobre los ficheros “positivos”, o sea, los relativos al cumplimiento de obligaciones, habituales en los países más avanzados.

Es claro, no obstante, que las nuevas normas -la europea y la española- provocarán cuando estén en vigor un claro cambio de paradigma. En el aspecto más importante de su régimen legal, el relativo a la licitud del tratamiento (antes llamada legitimación), cambia radicalmente. Debe tenerse en cuenta que en el Reglamento europeo no existe la “ley” como fuente de licitud de los tratamientos de datos. Es decir, desaparece la causa de licitud actualmente existente en la legislación española, conforme a la cual, se podrá realizar un tratamiento de datos si así lo permite una ley (art. 6.1 y 11.1 LOPD). Por consiguiente, no podrán legitimarse los tratamientos de datos personales en los sistemas de información crediticia por el simple hecho de que lo establezca una ley, como ocurre actualmente con el vigente artículo 29 de la LOPD. Por este motivo, el Proyecto de Ley de Protección de Datos se limita a decir que “salvo prueba en contrario, se presume lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias”. Pero desde la perspectiva del artículo 6 del Reglamento Europeo, ¿cuál es la causa de esa “licitud”? Es indudable que no puede ser otro que la necesidad del tratamiento para la satisfacción de intereses legítimos del responsable del tratamiento o de un tercero (art. 6.1.f) RGPD). Esta misma base de licitud debe aplicarse, sin duda, al tratamiento de datos positivos. Para ambos tipos de datos, el interés legítimo existe y corresponde al gestor del sistema, pero también a los terceros a los que se suministra la información, los empresarios, que gracias a ella podrán evaluar la solvencia crediticia de los solicitantes de crédito, sus clientes o usuarios. Es más, hay un interés social general, por decir así, en que se realice este tratamiento de datos ya que, sin él, el sistema financiero y en general la actividad económica no puede funcionar de forma eficiente. No es de extrañar, pues, que este este criterio de legitimación sea ampliamente utilizado en diversos países de la Unión Europea, tanto para datos positivos como negativos.

Por otro lado, será necesario revisar la base legal de los tratamientos de datos que llevan a cabo los registros públicos de crédito por todo el territorio de la Unión. A partir de la entrada en vigor del Reglamento, los artículos del Capítulo VI de la Ley 44/2002, de 22 de Noviembre, de Medidas de Reforma del Sistema Financiero que se refieren al funcionamiento de la Central de Información de Riesgos del Banco de España, sólo resultarán conformes a la norma comunitaria si es que hay un interés legítimo suficiente para realizar el tratamiento de datos y no deban prevalecer los intereses y derechos de los interesados (art. 6, f) RGPD). Como hemos comentado, el interés legítimo está más que justificado, pero no hay justificación alguna para que haya diferencias de regulación en este punto entre los sistemas de titularidad pública y titularidad privada. Por tanto, debería deshacerse la dicotomía que aparece en el art. 69 de dicha Ley 44/2002, que no está justificada en los términos del Reglamento comunitario.

Otras muchas cuestiones relativas a este tipo de tratamientos están en el aire. Es de esperar que la supervisión de la Agencia Española de Protección de Datos, cuyo enfoque también tiene que cambiar, y el mecanismo de coherencia instrumentado a través del Comité de Protección de Datos, acaben de perfilar el régimen jurídico de unos tratamientos de datos necesitados de unas claras reglas de funcionamiento.

Artículo de Opinión de Pablo Pascual. Director del Área Legal de Experian