El pasado 26 de Abril la AEPD resolvió el PS/00240/2019 imponiendo a EQUIFAX IBÉRICA, S.L., una multa de un millón de euros, además de la prohibición de que continúe el tratamiento de los datos personales que realiza a través del Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) del que es titular y la obligación de suprimir dichos datos.
Equifax recopilaba estos datos personales que trataba en el Fichero FIJ, de “fuentes de acceso público”, esto es de la información publicada en boletines o diarios oficiales de administraciones públicas, mediante su inserción en los tablones de anuncios ubicados en la sede de las entidades u organismos o en el tablón edictal judicial único, con la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial. Sin embargo la finalidad perseguida por el tratamiento de datos llevado a cabo por Equifax con esos datos recabados de esos diarios o boletines oficiales de administraciones públicas, era la de determinar la solvencia de los titulares de esos datos personales, para generar después informes sobre esa situación y facilitarlos a otras entidades.
En la resolución la AEPD advierte que con el RGPD no puede hablarse de un concepto legal de fuente de acceso público como la existente con la anterior LOPD (15/1999). El artículo 14.2. f) del RGPD tan sólo menciona dicho concepto para establecer la obligación del responsable del tratamiento de facilitar al interesado la información de si sus datos personales proceden de fuentes de acceso público, pero sin definir estas. Por tanto la publicidad de los datos no habilita directamente su tratamiento, se tendría que legitimar con alguna de las seis bases legitimadoras del artículo 6.1. RGPD.
En este caso Equifax alegaba que la base jurídica que legitimaba este tratamiento era la regulada en el art. 6.1.f) RGPD, es decir el interés legítimo de conocer las deudas y reclamaciones de las personas físicas para dar “seguridad al tráfico mercantil”, “prevenir la morosidad” y “valorar la solvencia patrimonial” de esas personas. Intereses incompatibles según la AEPD con respecto a la finalidad para la cual los datos fueron recabados inicialmente.
Tampoco se podría basar el tratamiento de esos datos personales en lo contemplado en el RGPD en su artículo 6 en este caso en su apartado 4, cuando habilita el tratamiento de datos personales con fines distintos a los iniciales, pero para ello una de las condiciones es que los fines sean compatibles, cuestión que en este caso no se da (notificar resolución/evaluar solvencia), y otra que el tratamiento no esté basado en el consentimiento del interesado (artículo 6.1.a) RGPD) o en una obligación legal (artículo 6.1.b) RGPD), en este caso el tratamiento inicial se basa en una obligación legal.
De la resolución se puede determinar, que la entidad de información crediticia trato los datos personales:
- Con una finalidad ulterior (la evaluación de la solvencia de los afectados y a la prevención del fraude) incompatible con los fines iniciales (notificar resolución), y por tanto incumpliendo el artículo 5.1.,b) RGPD (Principio de limitación de la finalidad).
- Sin licitud, el interés legítimo alegado era incompatible según la AEPD con respecto a la finalidad para la cual los datos fueron recabados inicialmente (incumpliendo con las condiciones para un tratamiento lícito reguladas en el artículo 6.1. del RGPD), ni transparencia al no facilitar la información relativa a este tratamiento de datos personales a todos los interesados (incumpliendo con el deber de informar regulado en el artículo 14 del RGPD cuando los datos personales no han sido obtenidos del interesado), incumpliendo por tanto lo estipulado en el artículo 5.1.a) RGPD (Principio de licitud, lealtad y transparencia).
- Sin contar con mecanismos para actualizar los datos personales recabados de este tipo de publicaciones oficiales, tal y como la propia entidad de información crediticia ha reconocido implícitamente; además en este tipo de publicaciones la información personal contenida no siempre permiten identificar de manera exacta al supuesto titular de la deuda, a veces identificados no por el NIF, sino por nombre y dos apellidos combinados con un domicilio, de forma que podría encontrarse una o varias personas con el mismo nombre y apellido posibilitando una identificación errónea del supuesto deudor. Infringen también el art. 5.1.d) RGPD (Principio de exactitud).
- Los datos personales tratados tampoco eran adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, la AEPD considera que al igual que sucede con el resto de principios ya relacionados (el de licitud o el de exactitud), el de minimización está condicionado por la infracción del principio de limitación de la finalidad evidenciando su incumplimiento, por lo que también incumplen el art. 5.1.c) RGPD (Principio de minimización).
Así la AEPD, pese a que son varios los principios relativos al tratamiento de datos personales los que se incumplen (artículos 5.1.a), c) y d) RGPD), además de las condiciones para un tratamiento lícito (artículo 6.1 RGPD) y el deber de informar cuando los datos no son obtenidos del interesado (artículo 14 RGPD), considera que todas esas infracciones están condicionadas por la primera, es decir el incumplimiento del principio de la limitación de la finalidad (artículo 5.1.b) RGPD), considerada la más grave, y la única que se ha sancionado.