ESPACIO ASOCIADOS

Importante sanción de la AEPD a Equifax por vulneración del RGPD

índice

Contenido del procedimiento sancionador por parte de la AEPD

Las reclamaciones contra Equifax versan sobre el tratamiento de los datos personales de los reclamantes efectuado por Equifax y materializado en su incorporación al Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) asociados a supuestas deudas en su mayoría contraídas, presuntamente con Administraciones Públicas. Con carácter general, los datos personales objeto de tratamiento vinculados a presuntas deudas figuraron en documentos de las Administraciones Públicas, las entidades u organismos de Derecho Público dependientes de ellas o en resoluciones de los órganos jurisdiccionales que fueron publicados a través de boletines o diarios oficiales, mediante su inserción en los tablones de anuncios ubicados en la sede de las entidades u organismos o en el tablón edictal judicial único, con la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial.

El expediente sancionador lo integran 96 reclamaciones en total (habida cuenta de que el reclamante 3 y el 27 son la misma persona que presentó en dos momentos distintos diferente documentación anexa).

El modelo de carta utilizado por Equifax cuando el RGPD era ya de efectiva aplicación para denegar a los reclamantes la supresión de sus datos del FIJ, del que hay numerosos ejemplos en el expediente administrativo, incluía los siguientes párrafos:

«(…) Dichos datos han sido obtenidos de Fuentes de Acceso Público. Si deseara ampliar la información aquí provista, puede hacerlo dirigiéndose al Organismo Público que consta en el informe abreviado.»

«Los datos incluidos serán cancelados o dados de baja una vez que usted haya realizado el pago de las deudas y nos justifique dicho pago mediante certificado emitido por el Organismo Público en cuestión o con sentencia a su favor, y en todo caso a los 6 años de la fecha en que sus datos fueron publicados».

En el modelo de carta utilizado por Equifax, ésta afirma que los datos personales de los afectados incluidos en el FIJ se obtuvieron de fuentes de acceso público; relaciona las finalidades del tratamiento de datos que lleva a cabo; exige como condición para poner fin al tratamiento de los datos que sus titulares le acrediten el pago de la deuda mediante documento expedido por el correspondiente organismo oficial o a través de sentencia e informa de que los datos así obtenidos serán objeto de tratamiento durante 6 años computados desde la fecha en la que fueron publicados.

La reclamada Equifax en otro modelo de carta, facilitaba la siguiente información:

«Este fichero tiene su base jurídica en el interés legítimo de las entidades, que necesitan conocer las deudas o reclamaciones de una persona física o jurídica para dar seguridad al tráfico mercantil, prevenir la morosidad y valorar la solvencia patrimonial de dichas personas, con las que tienen o van a tener relaciones comerciales, de crédito y de pago periódico o aplazado».

En sus alegaciones Equifax, dedica un apartado a la «ponderación de la prevalencia del interés legítimo en el presente caso». Afirma que son múltiples los elementos que conducen a concluir que el «interés legítimo de Equifax, sus compañias usuarias y la propia sociedad en el tratamiento de los datos del FIJ prevalece sobre los derechos e intereses de los deudores a los que se refieren los datos».

En la alegación quinta del escrito de alegaciones al acuerdo de inicio, «Sobre el cumplimiento por Equifax del principio de exactitud de los datos», reitera, en primer término, que respecto a este principio, el RGPD no ha introducido modificaciones en relación con lo que establecía la Directiva, ni en la enunciación del principio ni en sus consecuencias, y que la AEPD, hasta la publicación del acuerdo de inicio, «consideró en todo momento al FIJ plenamente respetuoso con lo dispuesto en la normativa de protección de datos personales, en la que ya aparecía claramente recogido el mencionado principio de exactitud». Por tanto, considera que el acuerdo de inicio implica que la AEPD ha adoptado un «nuevo criterio» de lo que concluye que la actuación de la AEPD es contraria a los principios de seguridad jurídica y confianza legítima.

Sobre la inversión de la carga de la prueba invocada en el acuerdo de inicio, parte en su exposición de la afirmación de que los datos que Equifax obtiene de los boletines y diarios oficiales gozan de «presunción de exactitud» «dada la propia naturaleza de la fuente de la que se obtiene». Por ello, tal presunción únicamente puede destruirse si el propio interesado acredita la inexactitud de la información o la propia fuente procede a su rectificación. Así pues, la conclusión es que ninguna inversión de la carga de la prueba existe, puesto que la información publicada es exacta en tanto no se demuestre los contrario.

La reclamada en relación con la garantía de los Principios de finalidad y de minimización en el acceso al fichero FIJ, alega que la aplicación de los mencionados principios se verá reforzada en cuanto al acceso a los datos con la aplicación de las garantías siguientes entre otras:

Sólo podrán acceder a los datos las entidades que mantengan con sus clientes una relación que determine la inclusión de sus datos en un SIC o a las que los afectados hayan solicitado la celebración de un contrato cuya ejecución determinaría la inclusión de tales datos.

Asimismo la entidad Equifax respecto a la Transparencia e Información a los interesados argumenta que en los supuestos de tratamientos basados en el interés legítimo prevalente se refuerzan los mecanismos de información al interesado acerca del tratamiento de los datos, en los términos establecidos en el artículo 14 del RGPD.

La reclamada como Anexo I a la documentación aportada, hace constar la fuente de datos y la web de descarga. Como ejemplo se reproduce la siguiente información:

  1. Notificaciones Administrativas de la AEAT (Pre-judiciales). Fuente de datos: BOE. Web de descarga: Suplemento Notificaciones del BOE diario.

Sobre las alegaciones de Equifax a la propuesta de resolución

La alegación segunda versa sobre la existencia de un «concurso medial entre la totalidad de las infracciones a las que se refiere la propuesta de resolución que impide acumular las potenciales sanciones».

Manifiesta que la propuesta identifica una pluralidad de infracciones que, supuestamente habría cometido Equifax «cuando en realidad se encuentran todas ellas subsumidas y embebidas en otras infracciones por las que la AEPD desea sancionar a la reclamada, dando todo ello lugar a diversos supuestos de concurso medial en los términos previstos en el artículo 29.5 de la Ley 40/2015«.

Aprecia la existencia de un concurso medial entre las infracciones del art. 6.1 RGPD en relación con el artículo 5.1.a) RGPD, 5.1.b) y 5.1.d) del RGPD.

Dice al tal efecto: «De esta forma, la supuesta falta de compatibilidad de los fines junto con la presunta infracción del principio de exactitud configuran la infraccion del principio de licitud del tratamiento, por la que también se pretende sancionar a Equifax. Como se puede observar, ya se produce un concurso medial con respecto a las infracciones del art. 6.1 RGPD en relación con el artículo 5.1.a) RGPD, 5.1.b) y 5.1.d) del RGPD».

Argumenta que, «respecto de la supuesta vulneración del principio de limitación de la finalidad, la AEPD considera, lo que se rebatirá posteriormente, que la finalidad del tratamiento originario y la del tratamiento ulterior por Equifax son incompatibles».

Equifax asimismo menciona unas reflexiones vertidas en la propuesta de resolución, en relación con la STJUE de 24/11/2011 y con la STS de 08/02/2012.

Una vez más afirma, que la AEPD era plenamente consciente de la existencia y del funcionamiento de estos sistemas de información; que, incluso con posterioridad a la STJUE, ha considerado suficiente para valorar su licitud el hecho de que los datos procedieran de las mencionadas fuentes accesibles al público y que pese a ello la AEPD no dirigió ninguna actuación contra el Fichero FIJ para reprochar el incumplimiento de la normativa de Protección de Datos.

Sobre algunos de los Fundamentos de Derecho o Razonamientos Jurídicos

Fundamento III (De la pretendida nulidad del procedimiento)

La entidad Equifax estima que la interpretación de la AEPD, según la cual «la determinación de la cuantía de la sanción y la consiguiente evaluación de las circunstancias concurrentes en el caso deviene de […] lo establecido en el artículo 85 LPACAP», es contraria a la Constitución Española toda vez que, dice, vulnera la protección de los derechos fundamentales que a través de ella se otorga y que la «eficiencia que podría perseguirse con la determinación del importe de la sanción en el acuerdo de inicio nunca podría justificar el quebranto de los derechos fundamentales del encartado (sujeto al procedimiento sancionador) que tal actuación conlleva».

A lo ya expuesto se añade en fase de propuesta que la AEPD entiende que la interpretación literal del precepto que viene haciendo es congruente con lo dispuesto en los diferentes apartados del artículo y que no le compete a este organismo pronunciarse sobre la pretendida inconstitucionalidad de esta disposición legal.

Fundamento VII (De la infracción del principio de exactitud)

El artículo 5.1.d) del RGPD, relativo al principio de exactitud, dispone que los datos personales objeto de tratamiento serán «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (exactitud)».

El Considerando 39 RGPD añade que deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.

El principio de exactitud implica que el responsable del tratamiento que disponga de información personal no utilizará dicha información sin adoptar medidas que garanticen, con una certeza razonable, que los datos son exactos y están actualizados. A su vez, la obligación de garantizar la exactitud de los datos debe considerarse en el contexto de la finalidad del tratamiento. El RGPD impone al responsable del tratamiento la obligación de mantener actualizados los datos pues dice que los datos serán exactos «y si fuera necesario, actualizados»; necesidad que está conectada con la finalidad del tratamiento.

La reclamada Equifax ha manifestado que la finalidad del tratamiento que lleva a cabo a través del FIJ está vinculada con la «evaluación de la solvencia de los afectados». Por tanto, solo si los datos incluidos en el fichero reflejan la situación actual serán idóneos para la finalidad pretendida de evaluar la solvencia de los prestatarios.

Las fuentes de las que se nutre el FIJ son los diarios y boletines oficiales. La información que en ellos se contiene, y a la que accede el FIJ, es la pertinente para que la Administración Pública pueda cumplir el fin que busca satisfacer y que ha justificado que se hicieran públicos datos personales de los administrados. Sin embargo, esa información no es la adecuada para la finalidad de un fichero como el FIJ. La disparidad e incompatibilidad entre la finalidad del tratamiento originario y la que persigue el FIJ determina que la información que este fichero recaba sea fragmentaria – dispone sólo de parte de la información relativa a la deuda y en ocasiones sólo de una parte de los datos identificativos de los supuestos deudores – y además esté desconectada del devenir de la deuda.

La deuda se vincula a una persona física en un acto de notificación que ve la luz pública en un momento puntual. Los avatares que a partir de ese momento pueden afectar a la existencia de la deuda y a su vinculación al supuesto deudor son innumerables. Entre ellos, por mencionar algunos, el pago por el deudor o la ejecución forzosa de la deuda por parte de la Administración, de la que Equifax no tendrá noticia si la notificación de los actos del procedimiento de ejecución se realiza personalmente y no es necesario acudir a la notificación mediante la publicación de edictos.

De esta manera, la información recabada por el FIJ se mantiene si actualizar, inalterable en el fichero durante un plazo máximo de seis años computados desde la fecha de la publicación, salvo que el afectado ejercite el derecho de supresión o rectificación. En el caso que nos ocupa, respecto a los reclamantes, constan anotaciones de impago publicadas en el año 2013, si bien la gran mayoría de los anuncios se publicaron entre 2016 y 2019.

Determinación de las circunstancias modificativas de la responsabilidad

En relación a la infracción del artículo 5.1.b) RGPD, se aprecia la concurrencia en calidad de agravantes de seis factores que revelan una mayor antijuridicidad y/o culpabilidad en la conducta de la entidad reclamada (Equifax).

Tales agravantes mencionadas se recogen en el cuerpo del procedimiento sancionador en las páginas 177 y 178.

En atención a las circunstancias que concurren se estima que el importe de la sanción económica o multa administrativa que procede imponer por la infracción del artículo 5.1.b) RGPD es de un millón de euros (1.000.000 €).

Resolución del procedimiento por parte de la Directora de la AEPD

Como consecuencia de todo ello, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia queda acreditada en el contenido del procedimiento sancionador, la AEPD procede a resolver el expediente imponiendo a Equifax Ibérica, SL, por una infracción del artículo 5.1.b) RGPD, en concurso medial, conforme a lo previsto en el artículo 29.5 de la Ley 40/2015, con las infracciones de los artículos 6.1, en relación con el artículo 5.1.a) RGPD; 5.1.d) RGPD; 5.1.c) RGPD y 14 RGPD, las sanciones que reproducimos a continuación:

  • A tenor del art. 58.2.i) RGPD, una multa administrativa de un millón de euros.
  • A tenor del art. 58.2.f) RGPD, la prohibición de que continúe el tratamiento de los datos personales que realiza a través del Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) del que es titular.
  • A tenor del artículo 58.2.g) RGPD, que proceda a la supresión de todos los datos personales que son objeto de tratamiento a través del FIJ asociados a presuntas deudas y que fueron obtenidos por la reclamada de la publicación de anuncios de notificación insertados en el Tablón Edictal Único del Boletín Oficial del Estado, de boletines y diarios oficiales o de las sedes electrónicas de organismos y entidades de Derecho Público.

Fuente: Procedimiento sancionador AEPD Nº: PS/00240/2019

Otra entrada de interés: Asnef Personas Físicas
Grabación de llamadas comerciales. ¿Obligación o derecho?

La grabación de llamadas comerciales, por tanto, no puede entenderse únicamente como una obligación impuesta a las empresas. También es un derecho que protege a los usuarios, garantizando que puedan acceder a la información que les concierne y que se ha tratado de manera transparente y conforme a la ley.

LEER MÁS »
Meta utilizará los datos de sus usuarios para entrenar su IA

Protección de Datos y Privacidad Meta, la empresa propietaria de Instagram, Facebook y WhatsApp, está actualizando las condiciones de privacidad de  sus usuarios de tal manera que autoricen el uso de sus datos (incluyendo fotos o publicaciones) para alimentar y entrenar su herramienta de Inteligencia Artificial (IA), salvo si se oponen a ello. Personalmente considero que el interesado o afectado (usuario) tendría que prestar su  consentimiento expreso, inequívoco e informado para poder proceder al tratamiento de sus datos personales por parte de Meta. Teniendo el derecho asimismo de retirarlo en cualquier momento (artículo 7.3 RGPD UE). No obstante, Meta reconoce el derecho de oposición del usuario al tratamiento de sus datos personales conforme a lo estipulado por el artículo 21.1 RGPD UE. Puesto que según la propia Meta, la base jurídica en la que se ampararán serán sus intereses legítimos de usar la información del usuario para desarrollar y mejorar la IA en Meta. El artículo 6.1. f) RGPD UE contempla como una base legitimadora para poder proceder al tratamiento de datos, la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado. Ahora bien, habría que comprobar si esos intereses legítimos alegados por el responsable del tratamiento (Meta) están justificados y son conformes a derecho. Sería interesante saber cuál sería la opinión de la autoridad de control nacional (AEPD), en un futuro pronunciamiento al respecto. Puesto que tales intereses legítimos no están nada claros.    Por otra parte hay que decir también que el ejercicio del derecho de oposición requiere de varios pasos que no son sencillos (requiere de siete acciones por parte del usuario), además la oposición nunca es completa, y no excluye a terceros, ni la cesión a terceras personas. Una prueba clara de que tal derecho no es completo, se encuentra en que la IA de Meta no distingue en las fotos entre los perfiles de usuarios que autorizaron el uso de sus datos personales del resto. De tal manera, que Meta no procede a informar sobre qué uso hace de los datos de terceros que no hayan dado su consentimiento previamente, entre los cuales podría haber datos de colectivos vulnerables como son los menores de edad. Según la propia Meta están trabajando en la nueva versión de la Política de Privacidad para que de esta manera refleje todos estos cambios. Esta nueva versión entrará en vigor el 26 de junio de 2024. En último lugar, procedemos a suministraros una URL con un vídeo donde podréis consultar los pasos a seguir para ejercitar el derecho de oposición al tratamiento de datos personales habilitado por Meta: derecho de oposición ante Meta

LEER MÁS »
Como crear contraseñas robustas en internet

Recomendaciones de interés para internautas Para poder preservar la privacidad en internet o en ámbitos digitales online es fundamental el uso de contraseñas fuertes o seguras. De esta manera podremos eludir accesos no autorizados por parte de terceros a nuestras cuentas. Por lo que procedemos a continuación a presentar una serie de consejos para de esta manera poder reforzar la seguridad y por lo tanto la privacidad de datos en entornos digitales. Es práctica común por parte de un sector de la ciudadanía el utilizar contraseñas poco robustas, con la amenaza o la inseguridad que esto implica. En muchas ocasiones, decidimos consumar la creación de una clave de acceso de manera rápida, sin tener en cuenta o sin  valorar las consecuencias que esto puede acarrear y el riesgo que puede entrañar. Por lo que el riesgo de que terceros no autorizados puedan tener acceso a nuestras cuentas puede ser múltiple o plural. A continuación vamos a proceder a proporcionar una serie de útiles consejos para reforzar nuestras contraseñas y así de esta manera que sean más seguras: Podemos seguir todos estos consejos descritos de manera asequible en una infografía alojada en la página web corporativa de INCIBE (Instituto Nacional de Ciberseguridad): https://www.incibe.es/ciudadania/formacion/infografias/crea-tu-contrasena-segura Dicha infografía ofrece una sistemática que se puede utilizar  cada  vez  que procedamos a registrarnos en un sitio web. A continuación reproducimos los pasos a seguir para poder crear una contraseña segura: Como medida de seguridad extra, INCIBE nos recomienda seguir también estos otros consejos para que los ciberdelincuentes no tengan nada que hacer: En último lugar, es muy importante tener en cuenta que cada usuario/persona  puede usar o emplear varias contraseñas diferentes con las implicaciones que esto entraña, siendo la más importante la dificultad para recordarlas todas ellas. La manera de evitar este notorio problema, es la utilización de un Gestor de Contraseñas con  una fiabilidad demostrada. Por lo que, utilizando este sistema, solamente sería necesario retener en la memoria la clave de acceso que hayamos seleccionado para entrar al Gestor de Contraseñas, la cual podemos denominarla contraseña madre, más conocida como clave maestra. Fuente: AEPD e INCIBE Otra entrada de interés: Controla tus datos personales en internet

LEER MÁS »

SUSCRÍBETE PARA ESTAR AL DÍA DE NUESTRAS NOVEDADES

En base al el Artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPD) y al artículo 13 del Reglamento General de Protección de Datos de la UE (RGPD)2016/679 del Parlamento Europeo y del Consejo de 27 de Abril de 2016, ASOCIACIÓN ESPAÑOLA PARA LA PRIVACIDAD DIGITAL (ASOCIACIONEPD) le informa de la existencia de un tratamiento de datos de carácter personal cuyo responsable es ASOCIACIÓN ESPAÑOLA PARA LA PRIVACIDAD DIGITAL (ASOCIACIONEPD) con CIF: G42631564 con dirección C/Médico Temístocles Almagro nº18 lc 2, 03300 Orihuela (Alicante), teléfono 965306309 email: dpo@asociacionepd.es
Objeto de tratamiento: datos de contacto… más info
Finalidades: La gestión y mantenimiento de los clientes y usuarios… más info
Conservación: durante el periodo de vigencia del consentimiento …más info
Legitimación: consentimiento de usuario de la web … más info
Destinatarios: Proveedores de Cookies … más info
Encargados de tratamiento: Proveedor de alojamiento web o hosting y hosting correo electrónico… más info
Transferencias internaciones. Proveedores de Cookies… más info
Ejercicio derechos: acceso, rectificación, supresión, oposición al tratamiento, limitación del tratamiento, portabilidad de sus datos, a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, a retirar el consentimiento en cualquier momento en la dirección Calle Médico Temístocles Almagro nº 18 lc 2, CP 03300, Orihuela (Alicante) o mediante vía electrónica, acreditando su personalidad, en la siguiente dirección de correo electrónico a dpo@asociacionepd.es … más info
Para más información usted puede consultar nuestra política de privacidad

POLÍTICA DE PRIVACIDAD

POLÍTICA DE COOKIES

ESTATUTOS

TÉRMINOS Y CONDICIONES

AVISO LEGAL RGPD – LSSICE