Equifax publicó una lista de deudores en base a información extraída de una publicación del BOE.
Fuente: Canal de YouTube Actualidad IP & IT
1 millón de euros es la multa que se le ha impuesto a Equifax Ibérica por utilizar datos del BOE para alimentar sus propios ficheros de solvencia. El procedimiento sancionador se inició porque la AEPD recibió 96 reclamaciones que alegaban que se habían incluido sus datos personales en un el “Fichero de reclamaciones judiciales y organismos públicos” de Equifax. El cual, recababa información del Tablón Edictal Único del BOE y de varios boletines oficiales autonómicos.
En el fundamento de derecho número 4, se establece el posicionamiento de la agencia en torno a las alegaciones que había realizado Equifax. Según estas, el tratamiento del fichero era realmente legítimo en el régimen jurídico anterior al RGPD. Pues la anterior Ley Orgánica de Protección de Datos, en su artículo 3.j recogía la definición de “fuentes accesibles al público”. Es decir, como el tablón del BOE.
No obstante, en el régimen jurídico actual en materia de protección de datos, no se recoge el concepto de “fuentes accesibles al público”. La Agencia ha desmontado esta alegación porque reiterada jurisprudencia, tanto del Supremo como del TJUE, afirma que aunque los datos procedieran de dichas fuentes no se legitimaba el tratamiento.
Equifax y el principio de limitación de la finalidad
Además de lo anterior, en la resolución de la AEPD podemos comprobar cómo se trata de una infracción “en cadena”. En primer lugar, la AEPD señala que se viola el principio de limitación de la finalidad, recogido en el artículo 5 del RGPD, que da cuenta de las obligaciones de los responsables del tratamiento. El cual, en su apartado b señala que el tratamiento debe realizarse de acuerdo a la finalidad para la que se recogieron los datos y no para otras.
Y en este caso, la Agencia determina que estos datos se publicaron en el BOE porque ya habían sido objeto de un tratamiento anterior cuya finalidad era que se publicasen en este portal del estado. A efectos de notificación para el interesado y para que éste también pudiese ejercer su derecho a la defensa.
O sea, cuando Equifax utiliza estos datos para incorporarlos en sus propios ficheros de solvencia no estamos hablando de una finalidad de interés público, que era la que llevó a publicarlos en el BOE.
En tanto, podemos decir que se está incumpliendo el principio de limitación a la finalidad. Asimismo, la Agencia señala que este tratamiento de los datos realmente no es esperable por el interesado puesto que no existe ninguna relación entre él y Equifax.
Fuente: Photo by Laika Notebooks on Unsplash
Principio de licitud
Teniendo en cuenta esto, la Agencia continúa su análisis con la infracción del principio de licitud considerando las bases legitimadoras del artículo 6. En este caso Equifax, decía que el tratamiento se basaba en su interés legítimo.
Y para ello, debe acreditarse que el interés legítimo del responsable del tratamiento es prioritario sobre los intereses o derechos de los titulares de los datos. Y para acreditar esto, necesitamos hacer un análisis del mismo.
Primero, determinar si contraviene algún precepto normativo tanto nacional como europeo. En este caso, la Agencia señala que el interés legítimo no es lícito porque nos encontramos ante un tratamiento que, como se explicaba anteriormente, vulnera el principio de limitación de la finalidad. Y, por tanto, vulnera directamente una norma europea como el RGPD. En consecuencia no es lícito. Como vemos es una especie de reacción en cadena.
Principio de exactitud
La siguiente infracción que analizó la Agencia es la del principio de exactitud que requiere que los datos sean exactos y, para ello, tienen que estar actualizados. La problemática es que viniendo de fuentes como el BOE para registrar la información crediticia es muy complicado actualizarlos.
Si registramos la deuda que tiene una persona con una administración acreedora y esta la paga en un mes, pero yo en mi base de datos no actualicé esa información, no va a estar al día. Pues como señala la Agencia, es bastante complejo hacerlo sin la cooperación de los interesados o de las administraciones acreedoras, que no se han dado.
De hecho, muchos de los reclamantes afirmaban que se habían hecho públicas sus deudas entre 2016 y 2019 y eran de 2013. Es decir, son datos muy muy poco actualizados por lo que se incurre en esta infracción del principio de exactitud.
Fuente: Photo by Markus Spiske on Unsplash
Principio de minimización de datos
Pero también se infringió el principio de minimización de datos que establece que los datos tienen que ser adecuados, pertinentes y limitados a lo necesario. Claro, si un fichero que busca analizar la situación de solvencia de determinadas personas no tiene datos actualizados no sirve para determinar su solvencia presente. Entonces no podemos decir que los datos objetivos del tratamiento sean los adecuados, ergo, afectamos la minimización de los datos.
Finalmente, la Agencia recoge una infracción del artículo 14, que establece requisitos de información que el responsable tiene que cumplir cuando recaba datos. Como notificar al interesado sobre el tratamiento de los datos. Lo que era prácticamente imposible para Equifax porque no tenía sus direcciones.
Por todo esto, la AEPD ha impuesto una sanción de un millón de euros a Equifax y ha ordenado que se suprima el fichero y que se prohíba su uso. Es decir, que debe ser eliminado por completo.
Autor del vídeo referenciado:
