¿Vale todo en la gestión de cobros? La nueva multa de la AEPD demuestra que no

La AEPD ha publicado una nueva resolución en donde impone una multa de 60.000 euros a la empresa GESTION DE COBROS, YO COBRO S.L. por la infracción del artículo 5.1.f) del RGPD relativo al principio de integridad y confidencialidad.


¿Cómo sucedió el hecho infractor?

La reclamante, que trabaja en la Universidad Autónoma de Barcelona, solicitó un micro préstamo de 300 euros a una empresa llamada “Maria Dinero”. Con el fin de obtener el préstamo, la reclamante introdujo sus datos personales en el formulario online de solicitud del préstamo. Posteriormente recibió en su cuenta dicho importe.

En la reclamación a la AEPD, la reclamante explica que devolvió la cantidad fuera de plazo, pero no antes de que Maria Dinero pasara su expediente a una empresa de gestión de cobros llamada: “GESTIÓN DE COBROS, YO COBRO SL.” (“Yo Cobro”).

La empresa Yo Cobro envió a la reclamante varios emails para reclamar el cobro del préstamo, acusándola de morosa y adjuntando en uno de los emails documentación sobre la deuda. Para ello, Yo Cobro utilizó tanto las direcciones de email personales de la reclamante, que esta había facilitado a Maria Dinero al solicitar el préstamo, como la dirección de email de su trabajo, a la cual tienen acceso sus compañeros, y que la reclamante nunca facilitó al solicitar el préstamo.

El 21 de noviembre de 2018, la reclamante presentó una denuncia en la AEPD por infracción del RGPD contra Maria Dinero y contra Yo Cobro.


Requerimientos de la AEPD a Maria Dinero y a Yo Cobro

Al requerimiento de la AEPD, Maria Dinero respondió que:

“La Empresa de Cobro de morosos realizó las gestiones de reclamación, sin nuestra intervención (la empresa que otorga el préstamo) ni supervisión. Vamos a solicitar a la empresa de cobro de morosos que en futuras reclamaciones se abstenga de usar estas prácticas y se ciña exclusivamente a reclamar la deuda mediante prácticas que no vulneren la Ley.”

La AEPD mandó hasta dos requerimientos a la empresa Yo Cobro, sin que esta contestara a ninguno de ellos.


Infracción

El procedimiento sancionador contra la empresa Yo Cobro es por la presunta infracción del artículo 5.1.f) del RGPD, el cual establece lo siguiente:

“Los datos personales serán…tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

Entendemos que la empresa Yo Cobro, al utilizar la dirección de email profesional de la reclamante que esta no había facilitado al solicitar el préstamo, estaba tratando este dato personal de forma no autorizada.

Asimismo, también asumimos que al mandar documentación de la deuda de la reclamante a un email que puede ser leído por otras personas, también contraviene el principio de confidencialidad, en la medida en que dicha documentación puede contener datos personales.


Criterios agravantes

La AEPD tuvo en cuenta los siguientes criterios agravantes recogidos en el articulo 83.2 del RGPD a la hora de determinar la cuantía de la multa:

1) La gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento, así como, los daños y perjuicios sufridos por la reclamante (apartado a) del artículo 83.2 del RGPD).

2) La intencionalidad o negligencia en la infracción (apartado b) del artículo 83.2 del RGPD).

3) La nula cooperación con la autoridad de control con el fin de poner remedio o mitigar los posibles efectos adversos de la infracción (apartado f) del artículo 83.2 del RGPD).


Conclusión

Esta nueva multa de la AEPD incluye una importante lección: cooperar siempre con la AEPD. El no hacerlo, no solo no evitará la multa, sino que además facilitará un agravante innecesario a la AEPD a la hora de calcular la multa.

Otra lección que ofrece esta resolución es que las empresas de gestión de cobros deben tener mas cautela a la hora de tratar los datos personales de los deudores con el fin de reclamar sus deudas. Si el dato personal no ha sido facilitado por el deudor, los cobradores no pueden ser “creativos” y tratar cualquier dato personal no autorizado que crean que puede ayudarles en la reclamación.

En cuanto a la cuantía de las multas, de 8 multas publicadas que lleva hasta la fecha la AEPD por infracción del RGPD, la media es de 50.625 euros por multa, muy lejos todavía de las temidas cantidades que establece el artículo 83 del RGPD.

Desde un punto de vista personal, nos agrada ver que la AEPD le está dando cada vez más impulso a su actividad sancionadora. Lejos quedan los meses en los que no había ninguna multa por infracción del RGPD.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

______

Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x