07 junio 2014

El Tribunal Supremo y la responsabilidad de ASNEF por sus registros (STS.21-5-2014)


La interesante STS, Sala 1ª, de 21 de mayo de 2014 (Roj: STS 2040/2014) trata, entre otras cosas, de la responsabilidad del encargado de los conocidos como “registros de morosos” regulados por el art. 29.2 LOPD y en los que ha de distinguirse entre los ficheros de los acreedores, que estos forman con base en los datos sobre incumplimientos contractuales de sus clientes obtenidos de su propia actividad, y el fichero común del que es responsable la empresa dedicada a información de solvencia patrimonial, que es el que constituye propiamente el "registro de morosos", que se forma con los datos comunicados por las empresas acreedoras y puede ser consultado por las empresas asociadas. 

El art. 44.3.1º RPD prevé que cuando el interesado ejercite sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un fichero regulado por el art. 29.2 LOPD , si la solicitud se dirige al titular del fichero común, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva, y si no recibe contestación por parte de esta entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos. 

Esta previsión reglamentaria no puede interpretarse de modo que cuando el interesado haya ejercitado sus derechos de rectificación o cancelación de forma motivada y fundamentada, justificando ante el titular del fichero común el incumplimiento de los requisitos de calidad de los datos, este no pueda y no deba rectificar o cancelar los datos no pertinentes, inexactos o incompletos a no ser que así se lo indique el acreedor que le ha suministrado los datos. Esta interpretación supondría una restricción injustificada del derecho a la protección de datos del interesado y es por tanto inatendible. Ha de tenerse en cuenta que el responsable del fichero común es quien comunica al afectado que sus datos han sido incluidos en el fichero, notificándole una referencia de tales datos e informándole de su derecho a recabar información de la totalidad de los datos, por lo que será frecuente que el derecho de rectificación o cancelación se ejercite frente al responsable del fichero común, que es el que constituye el "registro de morosos" y tiene una mayor potencialidad ofensiva pues puede ser consultado por terceros

Ciertamente, el acreedor o quien actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos en la LOPD, pues es él quien razonablemente puede comprobar los requisitos relativos a la existencia, veracidad y pertinencia de los datos, al ser parte en la relación contractual en la que se produjo el incumplimiento. Pero una vez que el interesado ejercita el derecho de rectificación o cancelación ante el responsable del registro de morosos, si la reclamación se realiza de manera documentada y justificada, el responsable de este fichero ha de satisfacer este derecho en los términos previstos en el art. 16 LOPD. No puede limitarse a trasladar la solicitud al acreedor, para que este decida, y seguir acríticamente las indicaciones de este, dando una respuesta estandarizada al afectado al que niega la cancelación. 

No se entendería, además, qué sentido tiene que el art. 38.3 del Reglamento imponga al acreedor la obligación de conservar la documentación acreditativa de los requisitos precisos para incluir los datos del deudor en el registro de morosos, a disposición no solo de la Agencia Española de Protección de Datos sino también del responsable del fichero común, si este cumple con dar traslado al acreedor del derecho de rectificación o cancelación ejercitado por el afectado y puede mantener los datos en el fichero tan sólo con que el acreedor así se lo indique, sin estar obligado a valorar la solicitud de cancelación ejercitada y, en su caso, pedir al acreedor la documentación que soporta la inclusión de los datos en el registro de morosos para comprobar su pertinencia, suficiencia y adecuación. 

Debe tomarse en consideración que el tratamiento de datos personales que puede causar daños más graves al interesado no es el efectuado por el acreedor en su fichero comercial, sino el realizado por la empresa titular del registro de morosos, cuyo fichero común puede ser consultado por un número indeterminado de empresas asociadas, con el descrédito que ello puede suponer para el afectado, provocando la intromisión ilegítima en su derecho al honor y daños morales y patrimoniales. 

Debe recordarse que los datos personales objeto de tratamiento no solo han de ser veraces y exactos, sino también adecuados y pertinentes. Dado que el art. 29.4 LOPD solo permite registrar y ceder datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados, una deuda que no se paga porque el supuesto deudor objeta seriamente su procedencia y exigibilidad (y así lo justifica al ejercitar el derecho de cancelación o rectificación) no es determinante para enjuiciar la solvencia económica del afectado, incluso aunque luego se diera la razón al acreedor en la reclamación judicial que pudiera entablarse, porque la causa del impago no es la insolvencia del deudor sino su disconformidad con la existencia o exigibilidad de la deuda. 

No se trata tanto de que el responsable del fichero común enjuicie la existencia, certeza y vencimiento de la deuda como la pertinencia de los datos para enjuiciar la insolvencia del afectado, a la vista de los términos en que haya sido ejercitado el derecho de rectificación o de cancelación. Equifax no es un mero encargado del tratamiento de datos que actúa por cuenta y bajo las órdenes de un responsable del fichero, en los términos previstos en el art. 3.g LOPD, sin autonomía en la toma de decisiones. Por el contrario, es responsable del fichero ASNEF y del tratamiento de los datos en él incluidos en los términos previstos en el art. 2.d de la Directiva 1995/46/CE, de 24 octubre del Parlamento Europeo y del Consejo de la Unión Europea y 3.d LOPD, y como tal, debió dar respuesta fundada al legítimo ejercicio del derecho de cancelación por parte del interesado cuyos datos se habían incluido indebidamente en el fichero de su responsabilidad. 

No es aceptable la tesis de que el responsable del fichero común carece de disponibilidad sobre los datos registrados y, por tanto, de responsabilidad. El art. 6.2 de la Directiva establece que «corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1», esto es, que los datos sean adecuados, pertinentes y no excesivos, que sean exactos y que se tomen todas las medidas razonables para que los datos inexactos o incompletos sean suprimidos o rectificados. Y, como declara la reciente sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, asunto C 131/12 , en su párrafo 77, «el interesado puede dirigir las solicitudes con arreglo a los artículos 12, letra b ), y 14, párrafo primero, letra a), de la Directiva 95/46 directamente al responsable del tratamiento, que debe entonces examinar debidamente su fundamento y, en su caso, poner fin al tratamiento de los datos controvertidos». 

Como responsable que es de un fichero de datos automatizado que se forma sin consentimiento de los afectados, y que por la naturaleza de los datos contenidos en el mismo, puede provocar serias vulneraciones de derechos fundamentales de los interesados y causarles graves daños morales y patrimoniales, Equifax ha de dar cumplida satisfacción al ejercicio por los interesados de los derechos de rectificación y cancelación, cuando, como en el caso enjuiciado, ello puede realizarse con base en una solicitud motivada y justificada. No puede limitarse a seguir las indicaciones del acreedor que facilitó los datos, ha de realizar su propia valoración del ejercicio del derecho de rectificación o cancelación realizado por el afectado, y darle una respuesta fundada. Lo contrario implicaría una restricción injustificada del derecho a la protección de datos de los interesados cuyos datos sean incluidos en un registro de los previstos en el art. 29.2 LOPD. 

Y cuando se limita a seguir acríticamente las indicaciones del acreedor y mantener los datos del demandante en un registro de morosos, pese a una solicitud de cancelación motivada y justificada se vulnera el derecho fundamental a la protección de datos, y con ello, participa en la intromisión en su derecho al honor consecuencia de su indebida inclusión en el registro de morosos.

No hay comentarios:

Publicar un comentario

Gracias por participar. Si no lee una respuesta a la cuestión o pregunta que formula ruego me disculpe, tengo algún problema con la aplicación que estoy tratando de solucionar.