Nuevo pronunciamiento de la AEPD sobre las fuentes accesibles al público: la sanción a EQUIFAX

Sin duda, uno de los aspectos más controvertidos en el ámbito de la protección de datos es el tratamiento de los datos obtenidos de fuentes accesibles al público. 

Recientemente, la AEPD ha sancionado con un millón de euros al buró de crédito EQUIFAX IBÉRICA S.L. (EQUIFAX) por incorporar a su Fichero de Reclamaciones Judiciales y organismos Públicos (FIJ) información sobre presuntas deudas obtenidas de anuncios de notificación insertados en el Tablón Edictal Único del Boletín Oficial del Estado, de boletines y diarios oficiales o de las sedes electrónicas de organismos y entidades de Derecho Público.

Además de la multa administrativa, tras analizar las reclamaciones de casi un centenar de afectados, la AEPD también impone:

  • Prohibición de continuar el tratamiento de los datos personales que realiza a través del FIJ del que es titular. 
  • Supresión de la totalidad de los datos personales que son objeto de tratamiento y que fueron obtenidos a través de dichas fuentes accesibles al público. 

Pero ¿qué principios infringe el tratamiento de datos obtenidos de fuentes accesibles al público que realizaba EQUIFAX? La sanción se impone por las infracciones de los artículos 6.1., en relación con el artículo 5.1.a) RGPD; 5.1.d) RGPD; 5.1.c) RGPD y 14 del RGPD, ¿qué significa esto? Veámoslo:

1. Principio de limitación de la finalidad

Este principio impide que pueda realizarse un tratamiento posterior de datos personales si los fines de este tratamiento y los perseguidos por el tratamiento originario no son compatibles. Para analizar si la actuación de EQUIFAX es acorde a este principio, la AEPD parte del origen de los datos, que fueron obtenidos de lo que podemos denominar como “fuentes accesibles al público”, en concreto, de boletines y diarios oficiales. 

La finalidad de la publicación original de esos datos es que el contenido del acto administrativo llegue a conocimiento de los interesados en un procedimiento administrativo, es decir, se busca satisfacer un interés público.

La AEPD no duda en afirmar que el tratamiento posterior que realiza EQUIFAX de esos datos persigue una finalidad “claramente distinta al interés público que justificó su publicación”, en concreto, la finalidad que del tratamiento realizado por EQUIFAX esta vinculada a la evaluación de la solvencia de los afectados y a la prevención del fraude, mientras que el tratamiento original busca la notificación a los interesados.

También se matiza que los afectados no han podido tener expectativas razonables de que sus datos fueran objeto del tratamiento realizado por EQUIFAX, al no existir ninguna relación entre los reclamantes y EQUIFAX que pudiera vincularse al contexto en el que se recogieron los datos.

Respecto a las consecuencias que derivan para los afectados, la AEPD los considera claramente perjudiciales, puesto que el FIJ se constituye como un fichero negativo de solvencia patrimonial que los identifica como deudores ante cualquiera que realice una consulta a ese fichero.

Por todo ello, considerando incompatibles la finalidad del tratamiento originario y la del tratamiento ulterior por EQUIFAX, la AEPD considera que EQUIFAX ha infringido el principio de limitación de la finalidad previsto en el artículo 5.1.b) del RGPD.

2. Principio de licitud

EQUIFAX alegaba su interés legítimo como base legitimadora del tratamiento realizado de datos obtenidos de fuentes accesibles al público. Sin embargo, la infracción del principio de limitación de la finalidad provoca que el interés legítimo no pueda considerarse lícito.

Pero no solo se vulnera el principio de licitud por la infracción del principio de limitación de la finalidad, en este caso también se consideran vulnerados los principios de exactitud y minización de datos, que explicaremos en el siguiente punto.

La AEPD concluye que el tratamiento no es legítimo porque no es necesario, no es idóneo, y no es proporcional, por no existir un equilibrio entre los intereses perseguidos por EQUIFAX y el perjuicio causado a los afectados.

3. Principio de exactitud y minimización de datos

La información contenida en los diarios y boletines oficiales, de los que EQUIFAX recopilaba datos, se refiere a las posibles deudas que pueda tener una persona física en el momento concreto de su publicación, pero esta información no se actualiza ni vincula a la situación del deudor, de forma de EQUIFAX no puede tener conocimiento de la situación real y actual en la que se encuentra la deuda.

La AEPD también recalca que la información obtenida de esas fuentes accesibles la público no siempre permiten identificar de forma plena al supuesto titular de la deuda. Por todo ello, se considera que EQUIFAX infringe el principio de exactitud y minimación de datos.

Con este pronunciamiento, la AEPD marca su criterio respecto al tratamiento de datos obtenidos de fuentes accesibles al público, y nos recuerda que si bien estos tratamientos de datos no estan prohibidos, debemos actuar con especial cautela, respetando los principios anteriormente descritos y cumpliendo en todo momento la normativa en materia de protección de datos.

Alina Nastasache
Abogada DPOITLAW (Integrado en Club Legal)