La AEPD impone a Equifax una multa de un millón de euros por cinco infracciones del RGPD
El Procedimiento fue incoado como resultado de 96 reclamaciones recibidas por la AEPD contra Equifax.
El pasado 26 de abril de 2021, la AEPD, en su procedimiento sancionador PS/00240/2019 (el “Procedimiento”) impuso a Equifax Ibérica, S.L. (“Equifax”) una multa de un millón de euros por infringir los siguientes artículos del RGPD:
(i) El principio de limitación de la finalidad (art. 5.1.b); (ii) el principio de licitud (art. 6.1); (iii) el principio de exactitud (art. 5.1.d); (iv) el principio de minimización de datos (art. 5.1.c) y (v) la obligación de informar al interesado cuando los datos personales no se hayan obtenido de éste (art. 14).
El Procedimiento fue incoado como resultado de 96 reclamaciones recibidas por la AEPD contra Equifax.
Los datos que se obtienen de fuentes accesibles al público solo deben tratarse para las finalidades con las que son tratadas en tales fuentes, pues de lo contrario, si se pretenden utilizar para otros usos, siempre se requiere el consentimiento de los afectados.
Contexto
Uno de los servicios que ofrece Equifax es el acceso a su Fichero de Reclamaciones Judiciales y Organismos Públicos (“FIJ”). Un fichero compuesto por personas físicas y jurídicas asociados a supuestas deudas en su mayoría contraídas con Administraciones Públicas, con el fin de evaluar la solvencia de dichas personas y prevenir el fraude.
En el marco de la protección de datos personales, la existencia de este fichero suscita la siguiente pregunta: ¿Cómo recaba Equifax estos datos personales?
En este sentido, la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (“LPACAP”), en su artículo 44 sobre notificaciones infructuosas señala:
“Cuando los interesados en un procedimiento sean desconocidos, se ignore el lugar de la notificación o bien, intentada ésta, no se hubiese podido practicar, la notificación se hará por medio de un anuncio publicado en el «Boletín Oficial del Estado». Asimismo, previamente y con carácter facultativo, las Administraciones podrán publicar un anuncio en el boletín oficial de la Comunidad Autónoma o de la Provincia, en el tablón de edictos del Ayuntamiento del último domicilio del interesado o del Consulado o Sección Consular de la Embajada correspondiente”.
En estos anuncios publicados por las Administraciones se incluye información parcial de los datos personales del interesado: a veces nombre y apellidos con un NIF/NIE incompleto, otras veces solo su NIF/NIE, y hasta la entrada en vigor de la LOPDGDD, a veces su domicilio.
Es de dichos anuncios publicados por las Administraciones donde Equifax recababa los datos personales que incluía en su FIJ.
Infracción 1: Principio de limitación de la finalidad (art. 5.1.b) del RGPD)
El artículo 5.1.b) del RGPD explica que los datos personales serán “recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines […]”
Resulta pues necesario examinar en primer lugar la finalidad del tratamiento de datos por las Administraciones, para ver si el tratamiento posterior de dichos datos por Equifax resulta compatible con dicha finalidad inicial.
La AEPD explica que la publicación que las Administraciones efectúan de actos o resoluciones administrativas que incluyen datos personales, implica para los administrados una restricción al derecho fundamental que tienen reconocido en el artículo 18.4 de la Constitución Española.
Sin embargo, dado que la finalidad del tratamiento de estos datos por la Administración es la de garantizar a los administrados el ejercicio de su derecho de defensa, se está protegiendo su derecho a la tutela judicial efectiva reconocido en el artículo 24.1 de la Constitución Española.
La AEPD concluye que “la finalidad perseguida (por las Administraciones) con esta evidente limitación al derecho a la protección de datos está directamente conectada con un interés público”.
Sin embargo, la finalidad del tratamiento de los datos personales realizado por Equifax a través del FIJ es ofrecer un servicio de evaluación de la solvencia de las personas físicas a cambio de una contraprestación económica.
La AEPD estima que la finalidad del FIJ es incompatible con el tratamiento de datos realizado por las Administraciones, por lo que su tratamiento vulnera el principio de limitación de la finalidad del RGPD.
Infracción 2: Principio de licitud (art. 6.1 del RGPD)
Equifax se ampara en la base jurídica del interés legítimo para el tratamiento de los datos del FIJ. Concretamente, un interés vinculado a la evaluación de la solvencia de los afectados y a la prevención del fraude.
Sin embargo, la AEPD estima que, dado que Equifax vulnera el principio de limitación de la finalidad antes mencionado por tratar datos personales que no debería tratar, el interés legítimo esgrimido por Equifax no puede cumplir el requisito de licitud.
Según la AEPD: “En definitiva, el interés que defiende la reclamada es incompatible con el cumplimiento de la ley que regula y garantiza el derecho fundamental a la protección de datos personales”.
Por la razón anterior, la AEPD estima que no es necesario entrar a valorar una prueba de ponderación entre el interés legítimo invocado por Equifax y el impacto que el tratamiento supone sobre el derecho fundamental de los administrados. No obstante, la AEPD sí hace una valoración:
“La evidente conveniencia que puede representar para un determinado sector de la actividad mercantil ver disminuido el riesgo inherente a su actividad no es proporcional a la clara vulneración del derecho fundamental reconocido en la C.E. (artículo 18.4) y en la Carta de derechos fundamentales de la U.E. (artículo 8) que se perpetra con el tratamiento de datos que el FIJ lleva a cabo”.
FUENTE.- ABC COMPLIANCE.
