guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Sistemas de información crediticia

Sistemas de información crediticia

El tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito podrá llevarse a cabo sobre la base del interés legítimo en los términos previstos en la LOPDGDD. La presunción de licitud no aplica cuando estos datos se tratan junto con informaciones adicionales para la elaboración de un perfilado del deudor.

Protección de Datos Personales
Protección de datos

¿Cuál es el régimen aplicable a los sistemas de información crediticia?

El régimen aplicable a la incorporación o inclusión de deudas a sistemas información crediticia es objeto del artículo 20 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). En concreto, este artículo tiene por objeto los tratamientos de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito.

Estos tratamientos de datos personales quedan incluidos en el Título IV de la LOPDGDD, relativo a disposiciones aplicables a tratamientos concretos, siendo la condición de legitimación del tratamiento en este caso el interés legítimo. Al respecto, el Consejo de Estado en su dictamen 757/2017, de 30 de octubre de 2017, sobre el anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, indicaba que la licitud de este tipo de tratamientos, conforme al Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD), se basa en la letra f) -intereses legítimos perseguidos por el responsable o por un tercero- y, en relación con este, señala también que el RGPD 2016no habilita a los Estados miembros a desarrollar este supuesto, y la jurisprudencia viene señalando que una ponderación de intereses como la que impone este precepto debe realizarse en atención a las circunstancias particulares de cada caso concreto.

Lo anterior explica que el apartado 1 del artículo 20 de la LOPDGDD comience indicando que salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los requisitos previstos en el mismo.

¿Cuáles son los requisitos para la inclusión de datos en sistemas de información crediticia?

En el apartado 1 del artículo 20 de la LOPDGDD se enumeran los requisitos que tienen que darse para que puedan incluirse los datos personales de los deudores en los sistemas de información crediticia. En concreto, estos requisitos o condiciones aplicables se refieren tanto a los datos personales de los deudores, a sus acreedores y a las entidades que mantienen el sistema de información crediticia, así como a quienes consultan el sistema de información crediticia, debiendo tener en consideración que:

  • Los datos personales:
    • - Tienen que haber sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
    • - Se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.
    • - Únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.
    • - Cuando se refieran a un deudor determinado solo podrán ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.
    • - En relación con el requisito expuesto en el párrafo anterior, si se hubiera ejercitado el derecho de limitación del tratamiento ante el sistema de información crediticia, a quienes pudieran consultarlo se les informará sobre dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.
  • Los acreedores y la entidad que mantiene el sistema de información crediticia:
    • - Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe.
    • - Que la entidad que mantiene el sistema de información crediticia haya notificado al afectado de la inclusión de sus datos, así como que le haya informado sobre la posibilidad de ejercitar sus derechos sobre protección de datos dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.
  • Quienes consultan el sistema de información crediticia:
    • - En caso de que la solicitud de celebración de un contrato se denegase, o no llegase a celebrarse, como consecuencia de consultar el sistema de información crediticia, el consultante informará al afectado de dicha circunstancia.

Sin perjuicio de lo anterior, es necesario tener también en consideración que, en virtud de la disposición adicional sexta, queda prohibida la incorporación a sistemas de información crediticia de deudas en que la cuantía del principal sea inferior a cincuenta euros. Al respecto, esta cuantía podrá ser actualizada mediante Real Decreto.

¿Quién es responsable del tratamiento en los sistemas de información crediticia?

El apartado 2 del artículo 20 de la LOPDGDD indica que las entidades que mantengan el sistema de información crediticia y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, serán considerados como corresponsables del tratamiento.

Al respecto, la LOPDGDD incluye una remisión al Reglamento, de manera que, conforme a lo dispuesto en el artículo 26 RGPD 2016 de este último, los corresponsables determinarán de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas en el mismo. En particular, estas obligaciones respectivas serán las relativas a la información a proporcionar al afectado sobre el tratamiento de sus datos personales y el ejercicio de sus derechos.

En este sentido, el RGPD 2016 indica que el acuerdo entre los corresponsables reflejará debidamente las funciones y relaciones respectivas de los corresponsables en relación con los interesados, debiendo ponerse a disposición del afectado los aspectos esenciales del mismo.

Y en cuanto al ejercicio de los derechos por los afectados, el apartado 3 del artículo 26 del RGPD 2016 indica que, con independencia de lo que hayan acordado los corresponsables, aquellos podrán ejercer sus derechos sobre protección de datos frente a, y en contra de, cada uno de los responsables.

Por último, es necesario tener en consideración que, en virtud de lo dispuesto en el artículo 34.1.j) de la LOPDGDD, las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito tendrán la obligación de designar a un delegado de protección de datos.

Exclusión del interés legítimo en casos de perfilado

El apartado 3 del artículo 20 de la LOPDGDD incluye una exclusión a la presunción establecida en el apartado 1 sobre la licitud del tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia.

Es así que la citada presunción de licitud no será aplicable cuando la entidad que mantuviese el sistema de información crediticia asociase la información crediticia del deudor a informaciones adicionales relativas al mismo y obtenidas de otras fuentes para elaborar un perfil. En este sentido, la LOPDGDD menciona que el perfilado, en particular, podría llevarse a cabo aplicando técnicas de calificación crediticia.

Al respecto, cabe recordar que el artículo 4.4) del RGPD 2016 define el concepto de elaboración de perfiles como toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

Y también que el Comité Europeo de Protección de Datos, que asumió como propio el documento publicado por el Grupo de Trabajo del artículo 29, en sus Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, WP 251 rev.01, revisadas por última vez y adoptadas el 6 de febrero de 2018, ha indicado que la elaboración de perfiles puede ser desleal y generar discriminación, por ejemplo, al denegar a las personas el acceso a oportunidades de empleo, crédito o seguro, o dirigirse a ellas con productos financieros demasiado arriesgados o costosos.

Recuerde que...

  • La inclusión de datos de deudores en sistemas de información crediticia está sujeta a requisitos relativos a los datos personales, a los acreedores y a las entidades que mantienen el sistema de información crediticia, así como a quienes los consultan.
  • Las entidades que mantengan el sistema de información crediticia y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, serán considerados como corresponsables del tratamiento.
  • La presunción sobre la licitud del tratamiento de datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito no será aplicable cuando se trate con fines de perfilado del deudor.
Subir