I. Introducción
Este artículo se enfoca en el análisis del artículo 20 de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LA LEY 19303/2018) 3/2018 (en adelante LOPD), de 5 de diciembre y las consecuencias jurídicas de su incumplimiento, con especial consideración en la inclusión indebida en sistemas de información crediticia y la responsabilidad civil derivada por la vulneración del derecho al honor. A través de una revisión de la legislación aplicable y la doctrina relevante, se pretende ofrecer una visión integral que permita comprender mejor la interacción entre la protección de datos y el derecho al honor en este ámbito específico de la actividad económica y financiera.
1. Breve descripción de la importancia del derecho al honor y la protección de datos personales
La protección de datos personales y el derecho al honor constituyen dos pilares fundamentales en el entramado jurídico que tutela los derechos fundamentales de los ciudadanos en la era digital. El principio del derecho fundamental a la intimidad en el ámbito informático se encuentra recogido en el Artículo 18.4 de la Constitución Española (LA LEY 2500/1978) y se articula mediante el Art. 81.1 y el 53.1 del mismo texto legal desarrollando el derecho a la protección de datos. Por lo tanto, según dice SARAZÁ JIMENA, R., el Artículo 18.4 de la Constitución (LA LEY 2500/1978) no solo consagra un «instinto de garantía de otros derechos, fundamentalmente el honor y la intimidad, si no también un instinto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona prevenientes de un uso ilegítimo del tratamiento mecanizado de datos» (1) .
El derecho al honor, por su parte, encuentra su reconocimiento y protección en la Constitución Española (LA LEY 2500/1978) (Art. 18.1), el Código Civil (LA LEY 1/1889) y en la jurisprudencia del Tribunal Supremo, que ha venido delimitando su contenido y los contornos de su protección ante vulneraciones cada día más elaboradas gracias a los sistemas de automatización informáticos.
2. Contextualización de los sistemas de información crediticia y su relevancia en el marco jurídico actual
El tratamiento de datos personales en sistemas de información crediticia, particularmente, se erige como un campo de especial relevancia y sensibilidad, dado su impacto directo en la esfera económica y personal de los sujetos. La LOPD (LA LEY 19303/2018), desarrolla el Reglamento 2016/679, de 27 de abril (LA LEY 6637/2016), de la UE relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), estableciendo un marco legal estricto que busca equilibrar la necesidad legítima del tratamiento de datos por parte de las entidades crediticias con la protección de los derechos y libertades individuales.
La inclusión indebida o el tratamiento inadecuado de datos personales en los ficheros de solvencia patrimonial pueden constituir una lesión al derecho al honor, y por ende puede dar lugar a su correspondiente necesidad de reparación del daño causado mediante la genérica responsabilidad civil extracontractual del artículo 1902 del código civil (LA LEY 1/1889), sin perjuicio de la competencia propia en el ámbito administrativo de la Agencia Española de Protección de Datos.
II. El Artículo 20 de la Ley orgánica de Protección de datos (LOPD)
El artículo 20 de la LOPD (LA LEY 19303/2018) impone una serie de condiciones específicas para la inclusión de información en los ficheros de solvencia patrimonial. Estos requisitos se centran en la protección de la persona cuyos datos se incluyen y son un reflejo del principio de exactitud y calidad de los datos que el RGPD promueve.
Según el artículo 20 de la LOPD (LA LEY 19303/2018), para que un dato de carácter personal pueda ser incluido en un fichero de solvencia patrimonial, se deben cumplir varios requisitos: debe ser facilitado por el acreedor o por quien actúe por su cuenta o interés; debe existir una deuda previa, cierta, vencida y exigible; y que esa deuda haya resultado impagada y respecto de la cual se haya informado al deudor. Esta notificación al deudor debe incluir una advertencia sobre la posibilidad de inclusión de sus datos en un fichero de morosidad, otorgándole un plazo adecuado para el pago de la deuda antes de proceder a tal inclusión.
1. Requisitos legales para la inclusión de datos en sistemas de información crediticia.
A) Los datos deben ser facilitados por el acreedor o por quien actúe por su cuenta o interés
La condición de parte en la relación contractual incumplida y que ha generado la necesidad de inclusión en el sistema crediticio es el principal motivo por el que se legitima para poder comunicar dicha información crediticia negativa bajo el amparo de informar a otras entidades de crédito o interesados a la hora de evaluar la relevancia crediticia del interesado.
Esta inclusión de datos puede realizarse también por terceros puesto que la deuda que inicia la relación contractual entre la entidad crediticia y el deudor puede transmitirse o derivar en otros actores a los que se les cede la deuda o que sean los encargados de reclamar su cumplimientos, según PLANA ARNALDOS, M.ª C, «podríamos admitir a aquellas personas que actúan en representación (directa o indirecta del acreedor y quien actúa en interés del acreedor, como ocurre en el caso de la entidad bancaria encargada de gestionar el cobro que resulta fallido, o también los casos en que los datos son facilitados por una entidad encargada de recuperar la deuda» (2) . Eso sí, estos terceros deben de garantizar que la información recibida sea veraz y que los datos facilitados sean pertinentes a la hora de incluirlos en cualquier sistema de publicación, lo que enlazaría con el siguiente requisito que detallamos a continuación.
B) Los datos deben referirse a deudas ciertas, vencidas y exigibles cuya existencia o cuantía no hubiese sido objeto de reclamación judicial o extrajudicial
Cuando se habla de deuda «vencida» se refiere a que el plazo para su cumplimiento haya expirado, y cuando se refiere a «exigible» es que el acreedor tiene derecho a reclamar su pago de manera inmediata. Si bien estos requisitos los podemos encontrar tanto en la LOPD (LA LEY 19303/2018), como en la RGPD y en el Real Decreto 1720/2007, de 21 de diciembre (LA LEY 13934/2007), que aprueba el Reglamento de desarrollo de la Ley Orgánica de 1999, es principalmente en la STS 174/2018, de 23 de marzo (LA LEY 14851/2018) en su fundamento jurídico 3ª donde se recoge la definición de «Principio de calidad de los datos», por el que, si bien ya se han pronunciado sentencias anteriores, esta declara de forma inequívoca la necesidad de que esos datos sean «adecuados, pertinentes y proporcionados a los fines para los que han sido recogidos y tratados y además que sean exactos y puestos al día», prohibiendo que sean usados para finalidades incompatibles con las que aquellos datos hubieran sido recogidos.
El hecho de que no exista discusión sobre la cuantía o existencia del mismo, también es algo que la jurisprudencia a precisado negando eficacia de discusión a cualquier reclamación por el simple hecho de negar la misma. La STS 245/2019, de 25 de abril (LA LEY 45612/2019) dictaminó que «el hecho de que no se puedan incluir datos personales en los denominados "ficheros de morosos" por razón de deudas inciertas, dudosas no pacíficas o sometidas a litigio, no significa que cualquier oposición al pago de una deuda, por injustificada que resulte, suponga que la deuda es incierta o dudosa, porque en tal caso la certeza y exigibilidad de la deuda se dejaría al exclusivo arbitrio del deudor, al que le bastaría con cuestionar su procedencia, cualquiera que fuera el fundamento de su oposición, para convertir la deuda en incierta».
Por último, la Sentencia Tribunal Supremo 174/2018, de 23 de marzo (LA LEY 14851/2018) también ha dictaminado que debe existir cierta proporcionalidad con los datos compartidos, debiendo ser pertinentes para dar a conocer la solvencia del deudor.
2. Obligación de informar al interesado antes y después de la inclusión de datos
El responsable del fichero debe comunicar al deudor su intención de incluirlo en el fichero de morosos, otorgándole un plazo prudencial para que proceda al pago y para ejercer sus derechos. Este deber de información responde a la necesidad del interesado de conocer el tratamiento de sus datos y así posibilitar el ejercicio de sus derechos, es correlativo al derecho a la información, básico para el ejercicio de los derechos reconocidos en los Artículos 15 a 22 del RGPD comunitario y comprende tanto la información previa a la inclusión de los datos como la información posterior (3) . Este plazo no está definido en la ley, pero la jurisprudencia ha interpretado que debe ser suficiente para que el deudor pueda realizar las gestiones necesarias para cumplir con su obligación o ejercer su derecho a oponerse a la inclusión de sus datos, obligando al acreedor a acreditar la realización fehaciente de esta reclamación en momento posterior a la firma del contrato para poder dar oportunidad a que el deudor no se vea perjudicado por un simple error bancario o descuido por su parte.
Se establece la obligación de informar al interesado una vez que sus datos han sido incluidos en el fichero, garantizando así su derecho a la información y reclamación
Igualmente, se establece la obligación de informar al interesado una vez que sus datos han sido incluidos en el fichero, garantizando así su derecho a la información y reclamación. Esta comunicación debe realizarse dentro de los treinta días siguientes a la inclusión de los datos en el sistema (4) , y debe contener información suficiente sobre la deuda, el procedimiento para ejercitar los derechos comprendidos en los Artículos 15 a (LA LEY 6637/2016)22 del reglamento 2016/679 (LA LEY 6637/2016) de acceso, rectificación, cancelación u oposición, y los datos de contacto del responsable del fichero. Esta comunicación debe ser realizada de forma fehaciente y acreditable por parte del acreedor y debe de realizarse por cada una de las deudas existentes.
3. Otros requisitos
- • Temporal: Los datos negativos deben de mantenerse hasta su cancelación (al haber liquidado su deuda el deudor) o como máximo 5 años desde el vencimiento de la obligación con arreglo a la LOPD (LA LEY 19303/2018). Este plazo cumple con la prescripción del Art. 1964.2 del Código Civil (LA LEY 1/1889) a fin de asimilarlo con el plazo de prescripción de toda deuda para que deje de ser exigible.
- • Acceso a los datos: Solo podrán acceder a esos datos las entidades o personas que tengan un vínculo contractual con el deudor o bien si el deudor ha solicitado tener alguna relación contractual con el mismo. Según el Art. 42 del Decreto 1702/2007, apartado 1ª: «Los datos contenidos en el fichero común solo podrán ser consultados por terceros cuando precisen enjuiciar la solvencia económica del afectado». El mismo artículo detalla las circunstancias en las que ese tercero pueda tener legitimación al ser: «a) mantenga algún tipo de relación contractual que aún no se encuentre vencida; b) pretenda celebrar un contrato que implique el pago aplazado del precio; y c) pretenda contratar con el tercero la prestación de un servicio de facturación periódica». El tercero debe comunicar al deudor de su derecho a poder consultar esos datos.
- • Deber de información del resultado de la consulta en caso de no contratación: Si bien no existe plazo para cumplir este deber, con el mismo se pretende facilitar al afectado el ejercicio de los derechos que reconoce la ley, y por otra parte acreditar los perjuicios por su inclusión en el fichero de morosos como veremos más adelante.
III. Consecuencias de la Inclusión Indebida en un Sistema de Información Crediticia
Esta inclusión indebida puede tener graves consecuencias tanto para las entidades que gestionan estos ficheros como para las personas afectadas. El marco legal, compuesto por el RGPD y la LOPD (LA LEY 19303/2018), así como el Código Civil, establece las responsabilidades y las repercusiones de tales acciones. Además, si la inclusión indebida en los ficheros de solvencia patrimonial causa un perjuicio a los afectados, estos pueden reclamar una compensación por daños y perjuicios en el ámbito civil, lo que puede incluir tanto el daño moral como el patrimonial.
1. Marco sancionador y responsabilidades derivadas del Reglamento 2016/679 (RGPD)
Las entidades que incumplan las disposiciones del RGPD y de la LOPD (LA LEY 19303/2018) pueden enfrentarse a significativas sanciones administrativas, que pueden alcanzar hasta el 4% del volumen de negocio anual global de la entidad o 20 millones de euros, según lo que sea mayor.
Pero centrándonos en el estudio del presente artículo, según el Art. 82 del RGPD (LA LEY 6637/2016), corresponderá indemnizar al perjudicado por los daños y perjuicios sufridos, al responsable o al encargado del tratamiento de esos datos. Estos responsables pueden ser, de forma individual, corresponsable o solidaria, tanto el propio acreedor; como cualquier persona al que haya cedido la deuda o la reclamación de la misma; las entidades o personas que mantengan el sistema; o el tercero que consulte esa información de forma incorrecta o contraviniendo las estipulaciones legales. Entraran en responsabilidad siempre que la mismas incumplan las obligaciones establecidas en los Art. 13 (LA LEY 6637/2016) y 14 del RGPD (LA LEY 6637/2016).
El perjudicado, para reclamar, debe acreditar según el citado Art. 82 de la RGPD (LA LEY 6637/2016): la condición del responsable o encargado del tratamiento de datos del demandado; la infracción de la normativa del RPGD; cuantificar y acreditar los daños y perjuicios; y la relación de causalidad entre la infracción y el resultado dañino. Si bien podría pensarse que el perjudicado puede ser únicamente el sujeto cuyos datos se comparten, puede haber otros afectados ya que «la divulgación de datos de solvencia de una persona afecta en el mercando la posición de sus socios y colaboradores, pero no se produce una afectación, mucho menos un tratamiento, de los datos personales de estos últimos (5) ».
2. Responsabilidad civil por la vulneración del derecho al honor
Si bien dicha responsabilidad podría dar lugar a responsabilidad penal dependiendo de la gravedad de la infracción acreditada, la responsabilidad civil, por la vía de reclamación extracontractual del Art. 1902 del Código Civil (LA LEY 1/1889), se adecua más a lo establecido en el Art. 82 del Reglamento 2016/679 (LA LEY 6637/2016) y a la vulneración del derecho al honor con arreglo al Art. 9 (LA LEY 1139/1982), 3ª de la Ley Orgánica 1/1982 (LA LEY 1139/1982), de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.
Para poder acreditar esta infracción, conviene tener una resolución administrativa, normalmente de la agencia española de Protección de Datos, que si bien no tiene carácter vinculante para el procedimiento civil, impregna todo el procedimiento de una aura de acreditación de difícil discusión. Pero no por ello, se puede incurrir en un automatismo de apreciar la concurrencia de la infracción por el simple hecho de existir una resolución administrativa firme que así lo declare, y menos asumir la calificación existente en la misma sobre si es leve o grave ya que la finalidad de la acción indemnizatoria no es punitiva, sino reparadora (6) . Asimismo, conviene referirse concretamente al Art. 9 de la Ley Orgánica 1/1982 (LA LEY 1139/1982) en la que se establece «La existencia de perjuicio se presumirá siempre que se acredite la intromisión ilegítima», por lo tanto es necesario la acreditación efectiva de daños y perjuicios para que prospere la acción civil. E igualmente, puesto que ni la LOPD (LA LEY 19303/2018) ni el RPGD regulan en este sentido, es gracias al citado Art. 9 de la Ley Orgánica 1/1982 (LA LEY 1139/1982) por el que se debe acudir a la vía civil por vulneración al derecho al honor.
En cuanto a que consideramos como intromisión ilegítima, la STS 226/2012 (LA LEY 46528/2012) de 9 de abril del 2012 cita que: «La inclusión indebida de datos de personas físicas en un fichero de solvencia patrimonial constituye una intromisión en el honor —no en la intimidad— de estas, no en vano la publicación de la morosidad de una persona incide negativamente en su buen nombre, prestigio o reputación, en su dignidad personal en suma». Obviamente las inclusiones que menoscaban el derecho al honor tienen que ser de datos negativos, que no hayan pasado por el filtro del anteriormente citado Art. 20 de la LOPD (LA LEY 19303/2018) y que por ende acrediten intromisión ilegítima como cita el Art. 9 de la Ley Orgánica 1/1982 (LA LEY 1139/1982). Tal y como dice SARAZÁ JIMENA, R., esta vulneración es ajena al hecho de si ese registro ha sido o no consultado por terceras personas, puesto que la jurisprudencia ha distinguido en el derecho al honor un doble aspecto, el aspecto interno de íntima convicción (inmanencia) y el aspecto externo de valoración social (trascendencia) (7) .
El problema viene a la hora de cuantificar y precisar el daño. En este supuesto podemos distinguir entre el daño moral y el patrimonial.
- • El daño moral se refiere al perjuicio que sufre una persona en su dignidad, honor o fama, y la inclusión en un fichero de morosidad puede tener un impacto negativo significativo en la reputación de un individuo. Para su cuantificación, según la STS 592/2021, de 9 de septiembre (LA LEY 152330/2021), en su fundamento 2º, se estará al tiempo que ha estado en el fichero de forma irregular; la difusión de esos datos; y el quebranto y angustia producido por el proceso para la rectificación o cancelación de los datos, siendo irrelevante la cuantía de la deuda inscrita incorrectamente.
- • Mientras que por otro lado, el daño patrimonial se relaciona con la pérdida económica, cuantificable y verificable, que puede sufrir una persona debido a la inclusión errónea en estos ficheros, como la denegación de créditos o condiciones financieras más onerosas.
Por último, recordar que la acción para reclamar la indemnización por daños y perjuicios derivados de la inclusión indebida en ficheros de morosidad está sujeta a un plazo de caducidad de 4 años, y de acuerdo con la jurisprudencia más reciente, este plazo comienza a contar desde el momento en que el afectado tiene conocimiento de su inclusión en el fichero y de la posibilidad de reclamar, y no desde la inclusión efectiva en el fichero.
IV. Conclusiones
En el presente artículo he intentado analizar de forma práctica tanto la regulación legal como la jurisprudencia reciente sobre un tema cada día más presente en nuestra sociedad como es la protección de datos y sus consecuencias en caso de infracción en el procedimiento civil mediante la protección al derecho al honor. La jurisprudencia demuestra un compromiso con la protección de los individuos frente a las vulneraciones de sus derechos fundamentales en el ámbito de los sistemas de información crediticia y subraya la necesidad de una compensación justa y proporcionada que refleje la gravedad de la infracción y sirva como medida disuasoria frente a futuras inclusiones indebidas.
Partiendo de esto, las entidades que gestionan sistemas de información crediticia deben adoptar un enfoque proactivo en la protección de los datos personales y el honor de los individuos. Es imprescindible que se realicen verificaciones rigurosas antes de incluir a una persona en un fichero de morosos, asegurándose de que la deuda es cierta, vencida y exigible, y que se ha notificado al deudor antes y posteriormente a la inclusión., además de permitir a los afectados el acceso y la rectificación de sus datos de forma simple.
V. Bibliografía
- • SARAZÁ JIMENA, R., La protección de datos personales en la reciente jurisprudencia de la Sala Primera del Tribunal Supremo. Cuadernos Digitales de Formación 63 - 2018.
- • PLANA ARNALDOS, M.ª C., El derecho fundamental a la protección de datos personales y los ficheros privados: el interés legítimo en el tratamiento de datos. Comunitania, Revista Internacional del Trabajo Social y Ciencias Sociales. enero 2014.
- • MAS BADIA, M.ª D., Sistemas privados de información crediticia. Nueva regulación entre la protección de datos y el crédito responsable. Tirant lo Blanch, Valencia 2021.
- • DÍEZ SOTO, C M., El régimen de los sistemas de información crediticia en la nueva legislación sobre protección de datos, en GONZÁLEZ PACANOWSKA, I., Protección de datos personales. Tirant lo Blanch. Valencia 2020. Página 545.
- • RUBÍ PUIG, A., Daños por infracciones del derecho a la protección de datos personales. Revista de Derecho Civil http://nreg.es/ojs/index.php/RDC ISSN 2341-2216 vol. V, núm. 4 (octubre-diciembre, 2018) Estudios, pp. 53-87
- • RUBÍ PUIG, A., Problemas de coordinación y compatibilidad entre la acción indemnizatoria del artículo 82 del Reglamento General de Protección de Datos (LA LEY 6637/2016) y otras acciones en derecho español en Derecho Privado y Constitución, 34, 197-232.doi: https://doi.org/10.18042/cepc/dpc.34.05
VI. Jurisprudencia