Contenido del procedimiento sancionador por parte de la AEPD
Las reclamaciones contra Equifax versan sobre el tratamiento de los datos personales de los reclamantes efectuado por Equifax y materializado en su incorporación al Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) asociados a supuestas deudas en su mayoría contraídas, presuntamente con Administraciones Públicas. Con carácter general, los datos personales objeto de tratamiento vinculados a presuntas deudas figuraron en documentos de las Administraciones Públicas, las entidades u organismos de Derecho Público dependientes de ellas o en resoluciones de los órganos jurisdiccionales que fueron publicados a través de boletines o diarios oficiales, mediante su inserción en los tablones de anuncios ubicados en la sede de las entidades u organismos o en el tablón edictal judicial único, con la finalidad de hacer efectiva la notificación de una resolución administrativa o judicial.
El expediente sancionador lo integran 96 reclamaciones en total (habida cuenta de que el reclamante 3 y el 27 son la misma persona que presentó en dos momentos distintos diferente documentación anexa).
El modelo de carta utilizado por Equifax cuando el RGPD era ya de efectiva aplicación para denegar a los reclamantes la supresión de sus datos del FIJ, del que hay numerosos ejemplos en el expediente administrativo, incluía los siguientes párrafos:
«(…) Dichos datos han sido obtenidos de Fuentes de Acceso Público. Si deseara ampliar la información aquí provista, puede hacerlo dirigiéndose al Organismo Público que consta en el informe abreviado.»
«Los datos incluidos serán cancelados o dados de baja una vez que usted haya realizado el pago de las deudas y nos justifique dicho pago mediante certificado emitido por el Organismo Público en cuestión o con sentencia a su favor, y en todo caso a los 6 años de la fecha en que sus datos fueron publicados».
En el modelo de carta utilizado por Equifax, ésta afirma que los datos personales de los afectados incluidos en el FIJ se obtuvieron de fuentes de acceso público; relaciona las finalidades del tratamiento de datos que lleva a cabo; exige como condición para poner fin al tratamiento de los datos que sus titulares le acrediten el pago de la deuda mediante documento expedido por el correspondiente organismo oficial o a través de sentencia e informa de que los datos así obtenidos serán objeto de tratamiento durante 6 años computados desde la fecha en la que fueron publicados.
La reclamada Equifax en otro modelo de carta, facilitaba la siguiente información:
«Este fichero tiene su base jurídica en el interés legítimo de las entidades, que necesitan conocer las deudas o reclamaciones de una persona física o jurídica para dar seguridad al tráfico mercantil, prevenir la morosidad y valorar la solvencia patrimonial de dichas personas, con las que tienen o van a tener relaciones comerciales, de crédito y de pago periódico o aplazado».
En sus alegaciones Equifax, dedica un apartado a la «ponderación de la prevalencia del interés legítimo en el presente caso». Afirma que son múltiples los elementos que conducen a concluir que el «interés legítimo de Equifax, sus compañias usuarias y la propia sociedad en el tratamiento de los datos del FIJ prevalece sobre los derechos e intereses de los deudores a los que se refieren los datos».
En la alegación quinta del escrito de alegaciones al acuerdo de inicio, «Sobre el cumplimiento por Equifax del principio de exactitud de los datos», reitera, en primer término, que respecto a este principio, el RGPD no ha introducido modificaciones en relación con lo que establecía la Directiva, ni en la enunciación del principio ni en sus consecuencias, y que la AEPD, hasta la publicación del acuerdo de inicio, «consideró en todo momento al FIJ plenamente respetuoso con lo dispuesto en la normativa de protección de datos personales, en la que ya aparecía claramente recogido el mencionado principio de exactitud». Por tanto, considera que el acuerdo de inicio implica que la AEPD ha adoptado un «nuevo criterio» de lo que concluye que la actuación de la AEPD es contraria a los principios de seguridad jurídica y confianza legítima.
Sobre la inversión de la carga de la prueba invocada en el acuerdo de inicio, parte en su exposición de la afirmación de que los datos que Equifax obtiene de los boletines y diarios oficiales gozan de «presunción de exactitud» «dada la propia naturaleza de la fuente de la que se obtiene». Por ello, tal presunción únicamente puede destruirse si el propio interesado acredita la inexactitud de la información o la propia fuente procede a su rectificación. Así pues, la conclusión es que ninguna inversión de la carga de la prueba existe, puesto que la información publicada es exacta en tanto no se demuestre los contrario.
La reclamada en relación con la garantía de los Principios de finalidad y de minimización en el acceso al fichero FIJ, alega que la aplicación de los mencionados principios se verá reforzada en cuanto al acceso a los datos con la aplicación de las garantías siguientes entre otras:
Sólo podrán acceder a los datos las entidades que mantengan con sus clientes una relación que determine la inclusión de sus datos en un SIC o a las que los afectados hayan solicitado la celebración de un contrato cuya ejecución determinaría la inclusión de tales datos.
Asimismo la entidad Equifax respecto a la Transparencia e Información a los interesados argumenta que en los supuestos de tratamientos basados en el interés legítimo prevalente se refuerzan los mecanismos de información al interesado acerca del tratamiento de los datos, en los términos establecidos en el artículo 14 del RGPD.
La reclamada como Anexo I a la documentación aportada, hace constar la fuente de datos y la web de descarga. Como ejemplo se reproduce la siguiente información:
- Notificaciones Administrativas de la AEAT (Pre-judiciales). Fuente de datos: BOE. Web de descarga: Suplemento Notificaciones del BOE diario.
Sobre las alegaciones de Equifax a la propuesta de resolución
La alegación segunda versa sobre la existencia de un «concurso medial entre la totalidad de las infracciones a las que se refiere la propuesta de resolución que impide acumular las potenciales sanciones».
Manifiesta que la propuesta identifica una pluralidad de infracciones que, supuestamente habría cometido Equifax «cuando en realidad se encuentran todas ellas subsumidas y embebidas en otras infracciones por las que la AEPD desea sancionar a la reclamada, dando todo ello lugar a diversos supuestos de concurso medial en los términos previstos en el artículo 29.5 de la Ley 40/2015«.
Aprecia la existencia de un concurso medial entre las infracciones del art. 6.1 RGPD en relación con el artículo 5.1.a) RGPD, 5.1.b) y 5.1.d) del RGPD.
Dice al tal efecto: «De esta forma, la supuesta falta de compatibilidad de los fines junto con la presunta infracción del principio de exactitud configuran la infraccion del principio de licitud del tratamiento, por la que también se pretende sancionar a Equifax. Como se puede observar, ya se produce un concurso medial con respecto a las infracciones del art. 6.1 RGPD en relación con el artículo 5.1.a) RGPD, 5.1.b) y 5.1.d) del RGPD».
Argumenta que, «respecto de la supuesta vulneración del principio de limitación de la finalidad, la AEPD considera, lo que se rebatirá posteriormente, que la finalidad del tratamiento originario y la del tratamiento ulterior por Equifax son incompatibles».
Equifax asimismo menciona unas reflexiones vertidas en la propuesta de resolución, en relación con la STJUE de 24/11/2011 y con la STS de 08/02/2012.
Una vez más afirma, que la AEPD era plenamente consciente de la existencia y del funcionamiento de estos sistemas de información; que, incluso con posterioridad a la STJUE, ha considerado suficiente para valorar su licitud el hecho de que los datos procedieran de las mencionadas fuentes accesibles al público y que pese a ello la AEPD no dirigió ninguna actuación contra el Fichero FIJ para reprochar el incumplimiento de la normativa de Protección de Datos.
Sobre algunos de los Fundamentos de Derecho o Razonamientos Jurídicos
Fundamento III (De la pretendida nulidad del procedimiento)
La entidad Equifax estima que la interpretación de la AEPD, según la cual «la determinación de la cuantía de la sanción y la consiguiente evaluación de las circunstancias concurrentes en el caso deviene de […] lo establecido en el artículo 85 LPACAP», es contraria a la Constitución Española toda vez que, dice, vulnera la protección de los derechos fundamentales que a través de ella se otorga y que la «eficiencia que podría perseguirse con la determinación del importe de la sanción en el acuerdo de inicio nunca podría justificar el quebranto de los derechos fundamentales del encartado (sujeto al procedimiento sancionador) que tal actuación conlleva».
A lo ya expuesto se añade en fase de propuesta que la AEPD entiende que la interpretación literal del precepto que viene haciendo es congruente con lo dispuesto en los diferentes apartados del artículo y que no le compete a este organismo pronunciarse sobre la pretendida inconstitucionalidad de esta disposición legal.
Fundamento VII (De la infracción del principio de exactitud)
El artículo 5.1.d) del RGPD, relativo al principio de exactitud, dispone que los datos personales objeto de tratamiento serán «exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan (exactitud)».
El Considerando 39 RGPD añade que deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.
El principio de exactitud implica que el responsable del tratamiento que disponga de información personal no utilizará dicha información sin adoptar medidas que garanticen, con una certeza razonable, que los datos son exactos y están actualizados. A su vez, la obligación de garantizar la exactitud de los datos debe considerarse en el contexto de la finalidad del tratamiento. El RGPD impone al responsable del tratamiento la obligación de mantener actualizados los datos pues dice que los datos serán exactos «y si fuera necesario, actualizados»; necesidad que está conectada con la finalidad del tratamiento.
La reclamada Equifax ha manifestado que la finalidad del tratamiento que lleva a cabo a través del FIJ está vinculada con la «evaluación de la solvencia de los afectados». Por tanto, solo si los datos incluidos en el fichero reflejan la situación actual serán idóneos para la finalidad pretendida de evaluar la solvencia de los prestatarios.
Las fuentes de las que se nutre el FIJ son los diarios y boletines oficiales. La información que en ellos se contiene, y a la que accede el FIJ, es la pertinente para que la Administración Pública pueda cumplir el fin que busca satisfacer y que ha justificado que se hicieran públicos datos personales de los administrados. Sin embargo, esa información no es la adecuada para la finalidad de un fichero como el FIJ. La disparidad e incompatibilidad entre la finalidad del tratamiento originario y la que persigue el FIJ determina que la información que este fichero recaba sea fragmentaria – dispone sólo de parte de la información relativa a la deuda y en ocasiones sólo de una parte de los datos identificativos de los supuestos deudores – y además esté desconectada del devenir de la deuda.
La deuda se vincula a una persona física en un acto de notificación que ve la luz pública en un momento puntual. Los avatares que a partir de ese momento pueden afectar a la existencia de la deuda y a su vinculación al supuesto deudor son innumerables. Entre ellos, por mencionar algunos, el pago por el deudor o la ejecución forzosa de la deuda por parte de la Administración, de la que Equifax no tendrá noticia si la notificación de los actos del procedimiento de ejecución se realiza personalmente y no es necesario acudir a la notificación mediante la publicación de edictos.
De esta manera, la información recabada por el FIJ se mantiene si actualizar, inalterable en el fichero durante un plazo máximo de seis años computados desde la fecha de la publicación, salvo que el afectado ejercite el derecho de supresión o rectificación. En el caso que nos ocupa, respecto a los reclamantes, constan anotaciones de impago publicadas en el año 2013, si bien la gran mayoría de los anuncios se publicaron entre 2016 y 2019.
Determinación de las circunstancias modificativas de la responsabilidad
En relación a la infracción del artículo 5.1.b) RGPD, se aprecia la concurrencia en calidad de agravantes de seis factores que revelan una mayor antijuridicidad y/o culpabilidad en la conducta de la entidad reclamada (Equifax).
Tales agravantes mencionadas se recogen en el cuerpo del procedimiento sancionador en las páginas 177 y 178.
En atención a las circunstancias que concurren se estima que el importe de la sanción económica o multa administrativa que procede imponer por la infracción del artículo 5.1.b) RGPD es de un millón de euros (1.000.000 €).
Resolución del procedimiento por parte de la Directora de la AEPD
Como consecuencia de todo ello, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia queda acreditada en el contenido del procedimiento sancionador, la AEPD procede a resolver el expediente imponiendo a Equifax Ibérica, SL, por una infracción del artículo 5.1.b) RGPD, en concurso medial, conforme a lo previsto en el artículo 29.5 de la Ley 40/2015, con las infracciones de los artículos 6.1, en relación con el artículo 5.1.a) RGPD; 5.1.d) RGPD; 5.1.c) RGPD y 14 RGPD, las sanciones que reproducimos a continuación:
- A tenor del art. 58.2.i) RGPD, una multa administrativa de un millón de euros.
- A tenor del art. 58.2.f) RGPD, la prohibición de que continúe el tratamiento de los datos personales que realiza a través del Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) del que es titular.
- A tenor del artículo 58.2.g) RGPD, que proceda a la supresión de todos los datos personales que son objeto de tratamiento a través del FIJ asociados a presuntas deudas y que fueron obtenidos por la reclamada de la publicación de anuncios de notificación insertados en el Tablón Edictal Único del Boletín Oficial del Estado, de boletines y diarios oficiales o de las sedes electrónicas de organismos y entidades de Derecho Público.