Como ya comentamos en la primera parte de este post, el pasado 26 de abril de 2021, la AEPD, en su procedimiento sancionador PS/00240/2019 (el “Procedimiento”) impuso a Equifax Ibérica, S.L. (“Equifax”) una multa de un millón de euros por infringir cinco artículos del RGPD.

En nuestro primer post nos centramos en las infracciones del principio de limitación de la finalidad y el principio de licitud (arts. 5.1.b y 6.1 del RGPD respectivamente).

En esta segunda parte, hemos querido examinar las tres infracciones restantes relativas al principio de exactitud (art. 5.1.d), el principio de minimización de datos (art. 5.1.c) y la obligación de informar al interesado cuando los datos personales no se hayan obtenido de éste (art. 14).

Recordemos que el Procedimiento fue incoado como resultado de 96 reclamaciones recibidas por la AEPD contra Equifax.

Infracción 3: Principio de exactitud (art. 5.1.d) del RGPD)

El RGPD establece en su artículo 5.1.d) que los datos personales serán “exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan”.

Según la AEPD, Equifax vulnera este principio de dos formas: en primer lugar porque la información del FIJ esta desconectada del pago de la deuda.

Esto tiene como consecuencia que la información incorporada por Equifax al FIJ no se actualiza tras el pago de la deuda por parte del afectado, y se mantiene en dicho fichero por un periodo de seis años desde la fecha de la publicación o hasta que el afectado ejerza su derecho de supresión o rectificación.

Según el Procedimiento, más del 25% de los reclamantes antes la AEPD aportaron documentos a Equifax que demostraban que el FIJ estaba vinculando a sus datos personales deudas ya extinguidas.

En segundo lugar, la información del FIJ es fragmentaria. Es decir, los anuncios de los que el FIJ recaba la información no siempre permiten identificar de forma inequívoca al supuesto titular de la deuda.

Esto se debe a que los anuncios publicados por las Administraciones incluyen información parcial de los datos personales del interesado: a veces nombre y apellidos con un NIF/NIE incompleto, otras veces solo su NIF/NIE, y hasta la entrada en vigor de la LOPDGDD, a veces su domicilio.

Esto da lugar a escenarios en los que el cliente de Equifax tiene acceso a información que no identifica inequívocamente a la persona sobre la que se está consultando e intenta en su lugar identificarlo “por aproximación”.

Es decir, el FIJ proporcionará al cliente información disponible de personas que tienen nombre y apellidos coincidentes, y, ante la duda de si es o no él a quien se refiere el FIJ, el cliente le otorgará la presunción inicial de insolvencia. Situación que ha sucedido en seis de las reclamaciones presentadas ante la AEPD.

Infracción 4: Principio de minimización de datos (art. 5.1.c) del RGPD)

El RGPD establece en su artículo 5.1.c) que los datos personales serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”.

En este sentido, la Disposición adicional séptima de la LOPDGDD sobre la identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos establece que:

“[…] se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente”.

Pese a lo anteriormente indicado, en el proceso empleado por Equifax para intentar identificar inequívocamente a las personas mencionadas en los anuncios, Equifax coteja los datos de los anuncios con los datos existentes en el FIJ. En caso de que los datos del DNI, NIE o pasaporte publicados en el anuncio coincidan con el de algún sujeto del FIJ, Equifax procederá a registrar en el FIJ la nueva información publicada.

La AEPD concluye que “esta conducta invalida las medias previstas por el legislador para proteger el derecho de los titulares de los datos que son publicados por razones de interés público en boletines y diarios oficiales”.

Infracción 5: Obligación de informar al interesado cuando los datos personales no se hayan obtenido de éste (art. 14 del RGPD)

El artículo 14 del RGPD establece la obligación de informar a los interesados cuando los datos tratados no se hubieran recogidos de ellos.

No obstante, según el Procedimiento, “[…] en 2018 las personas cuyos datos eran objeto de tratamiento por el FIJ superaban los cuatro millones y, sin embargo, el número de notificaciones efectuadas ese año no llega a trescientas cuarenta mil”.

Según la AEPD: “el RGPD, una vez que es de aplicación efectiva, resulta aplicable en su integridad y que, por tanto, EQUIFAX tenía la obligación desde esa fecha de informar en los términos del artículo 14 RGPD a los titulares de los datos cuyo tratamiento continuaba realizando a través del FIJ, por más que los datos se hubieran incluido en el fichero bajo la vigencia de otras normas”.

Del concurso medial de infracciones

El artículo 29.5 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público (LRSP) dispone: “Cuando la comisión de una infracción derive necesariamente de la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida”.

Dentro de las cinco infracciones del RGPD ya mencionadas, la AEPD estima que la vulneración del principio de limitación de la finalidad establecido en el artículo 5.1.b) del RGPD da lugar al resto de infracciones del RGPD cometidas por Equifax, y que por tanto estamos ante un concurso medial de infracciones.

La AEPD concluye que la infracción del principio de limitación de la finalidad debe ser considerada como la infracción de mayor gravedad a efectos del concurso medial.

Sanción

La AEPD impone a Equifax una multa de 1.000.000 de euros por la infracción del principio de limitación de la finalidad. Como resultado del concurso medial, esta es la única multa que la AEPD impone a Equifax.

Sin perjuicio de lo anterior, la AEPD también prohíbe a Equifax continuar con el tratamiento de datos personales que lleva a cabo a través del FIJ por ser contrario al RGPD. Asimismo, Equifax también deberá proceder a la supresión de todos los datos personales del FIJ.

La AEPD explica: “No estamos ante una conducta infractora aislada o fruto de una irregularidad puntual. Se trata de un modus operandi articulado perfectamente al margen de la ley que aprovechando las publicaciones oficiales que contienen datos personales busca obtener un beneficio económico prestando un servicio a terceros relacionado con la información sobre la solvencia de los afectados”.

Conclusión

Salvo que se estime un futuro recurso de Equifax, el Procedimiento pone fin a su servicio del FIJ. Las empresas del mercado que presten un servicio similar deberán replantearse los riesgos de su actividad.

Los puntos que consideramos más relevantes tras nuestros dos posts sobre el Procedimiento son los siguientes:

• Los datos personales encontrados en anuncios de las administraciones públicas no deben tratarse para ningún fin incompatible con el del interés público.
• Los datos personales publicados en fuentes accesibles al público no pueden tratarse libremente. En este escenario, salvo que se cuente con el consentimiento del interesado, el controlador deberá analizar si la finalidad del nuevo tratamiento que se persigue es compatible con la finalidad del tratamiento original, utilizando el artículo 6.4 del RGPD como referencia.
• Dependiendo del caso, los datos personales pueden requerir además de exactitud en el momento inicial del tratamiento, comprobaciones periódicas para mantener los datos actualizados.
• En caso de que el controlador de datos haya obtenido datos personales del interesado sin su conocimiento antes de la entrada en vigor del RGPD, tras la entrada en vigor de dicha norma, está obligado a informar al interesado del tratamiento de sus datos en los términos establecidos en el articulo 14 del RGPD.
• Si la AEPD no hubiera estimado la concurrencia de un concurso medial de infracciones, la multa que hubiera impuesto a Equifax habría ascendido a 5 millones de euros.

Desde el RGPD Blog continuaremos atentos a la actividad sancionadora de la AEPD.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.