El pasado 26 de abril de 2021, la AEPD, en su procedimiento sancionador PS/00240/2019 (el “Procedimiento”) impuso a Equifax Ibérica, S.L. (“Equifax”) una multa de un millón de euros por infringir los siguientes artículos del RGPD:

(i) El principio de limitación de la finalidad (art. 5.1.b); (ii) el principio de licitud (art. 6.1); (iii) el principio de exactitud (art. 5.1.d); (iv) el principio de minimización de datos (art. 5.1.c) y (v) la obligación de informar al interesado cuando los datos personales no se hayan obtenido de éste (art. 14).

El Procedimiento fue incoado como resultado de 96 reclamaciones recibidas por la AEPD contra Equifax.

Debido a la extensión del presente post, hemos decidido publicarlo en dos partes. En esta primera parte, hablaremos de la infracción de los artículos 5.1.b) y 6.1 del RGPD relativos al principio de limitación de la finalidad y al principio de licitud, respectivamente.

Contexto

Uno de los servicios que ofrece Equifax es el acceso a su Fichero de Reclamaciones Judiciales y Organismos Públicos (“FIJ”). Un fichero compuesto por personas físicas y jurídicas asociados a supuestas deudas en su mayoría contraídas con Administraciones Públicas, con el fin de evaluar la solvencia de dichas personas y prevenir el fraude.

En el marco de la protección de datos personales, la existencia de este fichero suscita la siguiente pregunta: ¿Cómo recaba Equifax estos datos personales?

En este sentido, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (“LPACAP”), en su artículo 44 sobre notificaciones infructuosas señala:

“Cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar de la notificación o bien, intentada ésta, no se hubiese podido practicar, la notificación se hará por medio de un anuncio publicado en el «Boletín Oficial del Estado». Asimismo, previamente y con carácter facultativo, las Administraciones podrán publicar un anuncio en el boletín oficial de la Comunidad Autónoma o de la Provincia, en el tablón de edictos del Ayuntamiento del último domicilio del interesado o del Consulado o Sección Consular de la Embajada correspondiente”.

En estos anuncios publicados por las Administraciones se incluye información parcial de los datos personales del interesado: a veces nombre y apellidos con un NIF/NIE incompleto, otras veces solo su NIF/NIE, y hasta la entrada en vigor de la LOPDGDD, a veces su domicilio.

Es de dichos anuncios publicados por las Administraciones donde Equifax recababa los datos personales que incluía en su FIJ.

Infracción 1: Principio de limitación de la finalidad (art. 5.1.b) del RGPD)

El artículo 5.1.b) del RGPD explica que los datos personales serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines […]”

Resulta pues necesario examinar en primer lugar la finalidad del tratamiento de datos por las Administraciones, para ver si el tratamiento posterior de dichos datos por Equifax resulta compatible con dicha finalidad inicial.

La AEPD explica que la publicación que las Administraciones efectúan de actos o resoluciones administrativas que incluyen datos personales, implica para los administrados una restricción al derecho fundamental que tienen reconocido en el artículo 18.4 de la Constitución Española.

Sin embargo, dado que la finalidad del tratamiento de estos datos por la Administración es la de garantizar a los administrados el ejercicio de su derecho de defensa, se está protegiendo su derecho a la tutela judicial efectiva reconocido en el artículo 24.1 de la Constitución Española.

La AEPD concluye que “la finalidad perseguida (por las Administraciones) con esta evidente limitación al derecho a la protección de datos está directamente conectada con un interés público”.

Sin embargo, la finalidad del tratamiento de los datos personales realizado por Equifax a través del FIJ es ofrecer un servicio de evaluación de la solvencia de las personas físicas a cambio de una contraprestación económica.

La AEPD estima que la finalidad del FIJ es incompatible con el tratamiento de datos realizado por las Administraciones, por lo que su tratamiento vulnera el principio de limitación de la finalidad del RGPD.

Infracción 2: Principio de licitud (art. 6.1 del RGPD)

Equifax se ampara en la base jurídica del interés legítimo para el tratamiento de los datos del FIJ. Concretamente, un interés vinculado a la evaluación de la solvencia de los afectados y a la prevención del fraude.

Sin embargo, la AEPD estima que, dado que Equifax vulnera el principio de limitación de la finalidad antes mencionado por tratar datos personales que no debería tratar, el interés legítimo esgrimido por Equifax no puede cumplir el requisito de licitud.

Según la AEPD: “En definitiva, el interés que defiende la reclamada es incompatible con el cumplimiento de la ley que regula y garantiza el derecho fundamental a la protección de datos personales”.

Por la razón anterior, la AEPD estima que no es necesario entrar a valorar una prueba de ponderación entre el interés legítimo invocado por Equifax y el impacto que el tratamiento supone sobre el derecho fundamental de los administrados. No obstante, la AEPD sí hace una valoración:

“La evidente conveniencia que puede representar para un determinado sector de la actividad mercantil ver disminuido el riesgo inherente a su actividad no es proporcional a la clara vulneración del derecho fundamental reconocido en la C.E. (artículo 18.4) y en la Carta de derechos fundamentales de la U.E. (artículo 8) que se perpetra con el tratamiento de datos que el FIJ lleva a cabo”.

Conclusión

La principal lección a tener presente tras esta primera publicación es que los datos personales publicados en fuentes accesibles al público no pueden tratarse libremente.

En este escenario, salvo que se cuente con el consentimiento del interesado, el controlador deberá analizar si la finalidad del nuevo tratamiento que se persigue es compatible con la finalidad del tratamiento original, utilizando el artículo 6.4 del RGPD como referencia.

En nuestro siguiente post, escribiremos sobre la infracción cometida por Equifax de los principios de exactitud y minimización de datos (arts. 5.1.d y 5.1.c del RGPD) y de la obligación de informar al interesado cuando los datos personales no se hayan obtenido de éste (art. 14 del RGPD).

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.