Crédito responsable, información financiera y protección de datos personales

Entre otras causas, el origen de esta crisis económica se encuentra en una mala praxis del sistema financiero generada a nivel internacional, pero que en España presenta caracteres muy particulares. Una de las medidas a mi juicio prioritarias es la sanción a la concesión irresponsable de crédito por parte de las entidades financieras, que deben evaluar correctamente el riesgo financiero de los clientes e incluso, me atrevo a proponer que se instaure la discriminación de coste crediticio en función de la prima de riesgo, de manera que el crédito sea más caro para el cliente de mayor riesgo.

Cuando se detecta que los responsables de una entidad no han evaluado correctamente el riesgo o habiéndolo hecho, conceden crédito, tal comportamiento debe tener una sanción real, como por ejemplo, ver subordinado su crédito en un procedimiento cuando tal sobreendeudamiento ha contribuido decisivamente a la insolvencia del deudor, la rescisión del acto o contrato o la dación en pago forzosa, cuando se trata de préstamo hipotecario.  De nuevo USA nos gana terreno en este punto. Ya se ha condenado a las entidades financieras a responder por lo abusos producidos (ver aquí).  Mientras tanto, aquí ha tenido que intervenir el Gobierno para que directivos de entidades financiera sancionados no perciban indemnizaciones… Que pudieran percibirlas es sencillamente demencial.

Así mismo es necesaria una educación financiera del consumidor que debe partir incluso de la educación secundaria obligatoria. Que no se debe indefinidamente gastar más de lo que se ingresa es algo que todo el mundo debería saber, a pesar de que parezca que se ha descubierto el Mediterráneo ahora con la llamada “estabilidad presupuestaria”. Es preciso un consumidor formado para evitar que sucedan de nuevo escándalos como el de la participaciones preferentes al que se ha referido Fernando Gomá en su magnífico post .

Un prius para exigir una concesión responsable de crédito, algo que ya hacen muchas normas que establecen la obligación del prestamista de evaluar la solvencia del deudor, es que las entidades puedan acceder de manera rápida y segura a la información financiera fiable de sus clientes y aquí en España, esta es una asignatura pendiente.  Si esta información no fluye de manera adecuada por culpa, aparentemente, de la Ley de Protección de Datos Personales, malamente se puede condenar a la entidad por no haber evaluado correctamente el riesgo.

En la actualidad son varias las normas que establecen la obligación de evaluar la solvencia (Ley de Crédito al Consumo, Ley de Economía sostenible, Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección del cliente de servicios bancarios (comentada por Fernando Gomá en este post) y en la Propuesta de Directiva sobre contratos de crédito para bienes inmuebles de uso residencial de 18.07.2011), pero no se especifica qué tipo de sanción es aplicable al prestamista que conocedor de la situación financiera del deudor o no conociéndola adecuadamente, no obstante, concede el préstamo.

En España la información con la que cuentan las entidades financieras para evaluar el riesgo del deudor es, en su mayor parte, la ofrecida por el mismo deudor que se centra básicamente en su patrimonio, ingresos y cargas. Así mismo, también las entidades pueden acceder a los denominados ficheros de solvencia patrimonial proporcionados por los Bureau de crédito gestionados por entidades privadas (ASNEF-EQUIFAX, EXPERIAN, CCI) o pública como es el caso de CIRBE (Central de Información de Riesgos del Banco de España).

A este respecto hay que destacar la diferencia entre dos tipos de ficheros. Los ficheros de solvencia negativa publican un perfil desfavorable de la persona, contienen las situaciones relativas a las incidencias en los pagos, son los comúnmente conocidos como ficheros de morosos. Por el contrario, los ficheros de información positiva brindan una imagen favorable de la solvencia de las personas: historial de cumplimiento de obligaciones contraídas, uso de tarjetas de crédito sin incidencias y niveles de endeudamiento global de los consumidores.

No cabe confundir la información positiva con el denominado “saldo cero”, es decir, con la constancia de que una deuda incumplida ha sido pagada. En los ficheros positivos se incluyen operaciones crediticias que nunca se han incumplido y se han satisfecho en los términos pactados. Los ficheros de solvencia negativos sólo dan la posibilidad de conocer al deudor incumplidor, pero no aportan información sobre si el nivel de endeudamiento del solicitante es lo suficientemente alto como para desaconsejar la concesión de más crédito. Esta información la tiene “nuestro banco” que sabe que pagamos nuestro saldo deudor de la tarjeta de crédito, que pagamos el recibo de la deuda hipotecaria todos los meses. Esta información es la que darían los ficheros de solvencia positivos, en donde se pondría de relieve el “comportamiento crediticio” del deudor.

Es bien sabido que tener patrimonio no equivale necesariamente a buen comportamiento crediticio y este tipo de información favorece la concesión de crédito a aquellos deudores emprendedores que en el momento de realizar la solicitud carecen de patrimonio porque “están empezando”, pero tienen buenas ideas y un comportamiento crediticio intachable. “Conocer” al deudor constituye una fuente de información relevante y es lo que hace que en la práctica nuestro banco nos dé más facilidades y mejores condiciones que otra entidad que “no nos conoce”.

Desde el punto de vista del mercado, las ventajas no son desdeñables, pues los ficheros positivos reducen la denominada “selección adversa”, disminuyendo la tasa de morosidad y permitiendo un control del sobreendeudamiento por parte de la entidad, aspecto éste sumamente relevante para evitar situaciones de sobreendeudamiento masivo que estamos padeciendo en la actualidad. En la mayoría de los países de la OCDE y de la UE se tratan conjuntamente datos positivos y negativos y la información la aportan los prestamistas a los denominados Bureau de crédito y también se añaden datos procedentes de registro públicos, tribunales, boletines oficiales. Con base en un criterio de reciprocidad, los prestamistas cuando tienen una solicitud de crédito obtienen el informe crediticio en el que consta tanto la información positiva como negativa.

Dicho esto, es fácil entender que algunas entidades financieras no tengan interés en compartir esa información a través de ficheros de solvencia positivos, pues ello fomentaría indudablemente la competitividad (fuga de clientes) lo que resultaría beneficioso para el consumidor pues las condiciones mejorarían. Compartir información tanto positiva como negativa no sólo reduce la deuda de cobro dudoso, sino que además incrementa el acceso al crédito.

Pues bien, en España prevalecen los ficheros de solvencia negativos, es decir, aquellos que se limitan a informar sobre el deudor incumplidor. Sí se trata de un fichero de información positiva el gestionado por el Banco de España (CIRBE) pero con información limitada, tanto desde el punto de vista de las entidades obligadas a aportar la misma, como desde el punto de vista de su contenido (constan todos los préstamos, avales, riesgos que tienen las entidades financieras con sus clientes, siempre que superen los 6.000 euros). La Central de Información de Riesgos (CIR) sólo facilita a las entidades información global sobre los riesgos de una persona o empresa. Por tanto, no desagrega los datos en el caso de que, por ejemplo, esté pagando varios créditos en una o varias entidades, y no comunica las entidades con las que el titular se encuentre endeudado. También se le informa, de manera muy limitada, si hay algún dato significativo de morosidad.

Cabe preguntarse acerca de los impedimentos legales que parecen bloquear la existencia de ficheros de solvencia positivos que permitan una mejor evaluación del riesgo crediticio que posibilite un control sobre su actuación. Parece que este obstáculo se encuentra en la legislación en materia de protección de datos personales.

Ley Orgánica de Protección de Datos de carácter personal 15/1999, de 13 de diciembre (LOPD), en su artículo 29, establece una serie de restricciones respecto de los ficheros de solvencia patrimonial, exigiendo el consentimiento del interesado, salvo que los datos procedan de fuente accesible al público. Dicho precepto es desarrollado por los arts. 37 y siguientes del Reglamento de Protección de datos de carácter personal (Real Decreto 1720/2007, de 21 de diciembre, RPD). Por el contrario, podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley” (art. 29.2 LOPD).

Por lo tanto, para incluir a un deudor en un registro de morosos no hace falta su consentimiento, siempre que se cumplan los requisitos legales. Pero el problema radica en determinar si es preciso tal consentimiento para incluir datos en un fichero de solvencia positiva, en donde se publica, como he dicho ya, un perfil favorable de la persona. Pues bien, el citado art. 29.2 LOPD se refiere a datos sobre “cumplimiento o incumplimiento de las obligaciones”, por lo que parece albergar en su seno la posibilidad de ficheros de solvencia positiva sin necesidad de consentimiento del deudor. De hecho, el art. 29.4 dispone que “sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos”. La restricción opera para la información negativa y no para la positiva que parece que se entenderá incluida en el art. 29. 2LOPD.

Sin embargo la interpretación que de esta materia ha hecho la Agencia de Protección de Datos y recientemente el Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección 6ª) Sentencia de 15 julio 2010 (RJ\2010\6272) ha sido sumamente restrictiva, en el sentido de que la exención del requisito del consentimiento solo jugaría para los ficheros negativos, como si el art. 29.2 LOPD solo se refiriera a éstos, de manera que para que el acreedor ceda datos de cumplimiento para un fichero positivo, sería necesario el consentimiento del afectado. La Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito parece partir de la hipótesis de que en el art. 29.2 (antiguo art. 28 LORTAD) solo se contemplan los ficheros de solvencia negativos al entender que podrán incluirse datos sin consentimiento del interesado “solamente cuando concurran los siguientes requisitos: Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada. Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación”. Tal Instrucción parece referirse a los ficheros negativos, regulación que posteriormente se trasladó al Reglamento de Protección de datos de 2007 (arts. 38 y ss).

Por lo tanto, los ficheros de solvencia positiva parecen requerir del consentimiento del afectado y el RPD carece de una regulación de tales ficheros, y todo ello me parece criticable y favorece la falta de competitividad entre entidades financieras y, a mi juicio, es contrario a los intereses del consumidor. En algunos estados miembros es obligatorio, por ley, depositar información en el registro (Grecia, Hungría, Países Bajos, Eslovenia, Bélgica y Serbia), pero en la mayoría no existe esta obligación. En otros países consultar la base de datos es una obligación legal (Bélgica, Países Bajos, Noruega, Serbia y Turquía), pero incluso en aquellos donde compartir y usar información crediticia no está definido como obligatorio, es norma general depositar toda la información que legalmente se pueda suministrar. España es extraordinariamente restrictiva en este punto.

Debería existir una obligación legal para toda entidad crediticia de depositar la información financiera de los clientes en un único registro europeo. Una legislación restrictiva en materia de protección de datos (el nuevo Reglamento europeo de protección de datos  que se está gestando lo es todavía más)  no puede suponer un obstáculo y no debe dejarse a la voluntad de la entidad financiera el compartir tal información. Así mismo, toda entidad crediticia debe tener la obligación legal de consultar tal base de datos antes de conceder crédito.

Lo que “perjudica” al deudor es la constancia de la información negativa (inclusión en fichero de morosos) para lo cual no se requiere su consentimiento. No parece razonable que éste sí sea necesario para que se publique una información positiva que puede favorecerle notablemente.  En definitiva, basten estas líneas para poner sobre la mesa la oscuridad de la ley en este punto, las dudas interpretativas sobre la legislación nacional en esta importante materia que han hecho recientemente pronunciarse el Tribunal de Justicia de la UE en sentencia de 24 de noviembre de 2011.

La interpretación restrictiva de la legislación en materia de protección de datos limita el acceso a información financiera fiable y ello puede tener un impacto notable en el control del sistema financiero. No me cabe duda de la bondad de los ficheros de solvencia positivos para el sistema en general: aumento de la competitividad entre entidades financieras; facilidad de acceso al mercado crediticio. Sin duda beneficia al consumidor pues se controla su nivel de endeudamiento, aunque hay que reconocer que este sistema facilita la fuga de clientes y permite un control de la concesión irresponsable de crédito y esto a muchos no les interesa…

 

Transparencia y derecho al olvido

¿A santo de qué tiene que soportar un ciudadano que aireen sus vergüenzas o le pongan a caldo en un blog?
La respuesta inmediata es evidente, según lo corroboran las innumerables quejas que la Agencia Española de Protección de Datos tramita por este motivo.
Pero, ahí tenemos al Tribunal Constitucional que, contradiciendo el primer impulso nos recuerda la importancia de la democracia y nos subraya que las libertades de información y de expresión constituyen su pilar básico, pues la formación de una opinión pública libre e informada es esencial para su estabilidad. Permitir que cualquiera pueda acallar a quien dice lo que molesta mata a la democracia y, por ello, los derechos a la intimidad y a la protección de datos han de verse limitados por aquellas dos libertades, a salvo de los casos del insulto, falsedades o ausencia de relevancia pública en la información. Este razonamiento es indiscutible, hay que creer en él con convicción y defenderlo a toda costa.
Obviamente, la prevalencia de las libertades de información y expresión no evita que surjan conflictos, pues nada impide el abuso en su ejercicio. De hecho, los conflictos entre estas libertades y los derechos a la intimidad y la protección de datos proliferan enormemente en la actualidad. Esto se debe, por un lado, a que la libertad de información y expresión no se limita a los periódicos, sino que todos los ciudadanos somos titulares de ellas en sus aspectos activo y pasivo, es decir, tanto en la actividad de informar y opinar, como en la de acceder a la información, de forma que cualquier publicación de un particular está amparada por estas libertades de forma idéntica a la publicación de una noticia por un periódico. Y, por otro lado, la posibilidad de publicar se ha democratizado gracias a la sociedad de la información. Mediante Blogs y otras herramientas de comunicación accesibles a través de Internet, cualquiera puede publicar (sin costo ni dificultad alguna) aquello que considera relevante, y el resto de los ciudadanos puede acceder fácilmente a ese contenido gracias a la eficacia de los buscadores en la Red.
Además, como era previsible, los abusos se cometen anónimamente en un porcentaje muy considerable. Los autores de blogs acostumbran a no facilitar su verdadera identidad, impidiendo así el ejercicio de la defensa frente a la infracción de la intimidad o la protección de datos.
Para más complicaciones de la defensa frente al libelo, el art. 20.5 de la Constitución y el 11.3 de la LSSI obligan al agraviado a acudir a la autoridad judicial mediante un pleito (largo y caro) donde el juez determine si se mantiene la prevalencia de las libertades en el conflicto en cuestión, impidiendo que otras autoridades ordenen la retirada de un Blog o limiten el acceso al contenido protegido (obviamente, la Agencia de protección de datos ignora esas normas).
Y, para colmo, a la vista de la jurisprudencia constitucional es de soñadores pensar que la demanda de tutela de la intimidad o de la protección de datos pueda prosperar, pues la prevalencia de las libertades de información y expresión es gigantesca.
En definitiva, las libertades de información y expresión son las favoritas absolutas en estos conflictos.
Así, parece que la democracia acarrea una injusticia difícil de aceptar: en nuestro derecho, la víctima de los libelos está impedida de hecho para defenderse, lo que le invita a acudir a soluciones creativas, como solicitar la tutela de la Agencia española de protección de datos que, por ahora, aparenta ser más creativa y efectiva que el desamparo de los tribunales, a pesar de que las acciones emprendidas por la Agencia invaden competencias ajenas, ignoran los límites territoriales de su potestad y dan lugar a la censura, en cuanto impiden o dificultan sin respaldo judicial el acceso a los contenidos protegidos por las libertades de información y expresión.
Sin embargo, el Tribunal Constitucional ha desarrollado en una ocasión un argumento que, en mi opinión, resuelve este problema sin necesidad de invadir competencias ajenas ni buscar soluciones inaceptables e inoperantes.
Resumidamente, el Auto 56/2002, de 8 de abril de 2002 de la Sección Cuarta afirma que las libertades de información o de expresión no protegen a quien se oculta bajo el anonimato, porque «Lo que el mencionado precepto constitucional [el artículo 20] trata de salvaguardar es la pervivencia de un debate abierto y a la luz pública, y no la divulgación de noticias o expresiones que puedan colisionar con los derechos fundamentales del art. 18.1 CE ocultándose en la anonimia». Afirma así el Auto que «ninguna duda cabe de que uno de los elementos que deben concurrir para que pueda hablarse de un proceso de comunicación pública idóneo para conformar una opinión pública libre es el atinente a la identificación, mediata o inmediata, del autor del escrito» y ello porque: «desde la estricta perspectiva constitucional interesa es que se brinde al destinatario de éste [del mensaje] la posibilidad de conocer al emisor, con lo que ello comporta de ejercicio responsable del derecho y de instrumento de valoración de la relevancia del mensaje emitido».
Este Auto es único, no he encontrado otras decisiones del TC en que se consolide su razonamiento, lo que no afecta a su brillantez y preclaridad, ni al hecho de que esta doctrina constituiría, en mi opinión, una de las claves para resolver acertadamente la mayoría de los conflictos entre los ciudadanos, ya que si una publicación anónima (o bajo un pseudónimo que impide localizar al autor) no está amparada por las libertades de expresión o de información, su retirada no podrá tildarse de censura ni cabrá afirmar que resulte operativa la reserva judicial que establecen la Constitución y la LSSI, pues no resultarían afectadas las libertades de información y expresión.
Por ello, la Agencia podría, sin más complicaciones, ordenar la eliminación del contenido del blog anónimo a la empresa que lo aloje, evitando el bochornoso espectáculo de interpretar artificiosamente las leyes españolas y europeas para tratar de forzar a los buscadores (normalmente extranjeros) a que oculten bajo la alfombra aquellos contenidos que se consideran abusivos.
Por supuesto, si la información está firmada por una persona identificable, la protección que le otorga la Constitución exige que se acuda a un juez para solicitar su eliminación en el caso de que sea falsa, insultante o intrascendente y cualquier atajo a esta vía sería constitutivo de censura.
Quedan fuera de esta solución las quejas (también muy frecuentes) derivadas de la accesibilidad a través de los buscadores a la información que se conserva en la edición digital de las hemerotecas y los boletines oficiales, pero, en estos dos casos, entiendo que la solución debería ser muy distinta a la comentada y a la que adopta la Agencia.
Ya se ha puesto de relieve que las libertades de información y de expresión prevalecen frente a los derechos de intimidad y de protección de datos en aquellos casos en que la información publicada resulte relevante para la formación de una opinión pública libre, lo que suele suceder en la mayoría de las ocasiones.
Es cierto que las hemerotecas sólo conservan noticias viejas de las que quizá ya no se habla porque han pasado al olvido. Pero no puede ignorarse que la doctrina constitucional no requiere que la información sea reciente, así que la antigüedad no es óbice para negarle la prevalencia, ni tampoco requiere el tribunal que la noticia sea importante, sino relevante para la formación de una opinión pública libre.
Lo cierto es que el contenido de las hemerotecas es una de las piezas clave para la investigación de la historia de la sociedad y para la comprensión de lo que sucede en el presente. Por ello, aunque esta trascendencia se predique respecto del conjunto de las noticias y no de cada uno de los elementos que integran la hemeroteca, la hemeroteca debe mantenerse íntegra y abierta al libre acceso de quien tenga interés en conocer su contenido.
Es cierto que el transcurso del tiempo elimina la relevancia de muchas noticias, de modo que podría defenderse, por ejemplo, que la noticia relativa a la detención de un pobre diablo por su participación en un delito insignificante (así aislado) para la sociedad no es clave para el conocimiento de la historia social, ni, por tanto, para la formación de la opinión pública libre, pero, sin embargo, ¿qué ocurriría si ese pobre diablo cambiara de costumbres y pasara a ser candidato a presidente? (el caso es real, Barack Obama fumó porros y se lo recordaron durante su campaña).
La mera posibilidad de que lo irrelevante torne a muy relevante para la generación de una opinión pública libre pone de relieve la necesidad de que no se limite el acceso a las hemerotecas. Indudablemente, es necesario dejar la puerta abierta a los interesados y permitir a todo el mundo que conozca el contenido de la hemeroteca. Máxime cuando la otra posibilidad que se me ocurre es escalofriante: que sea el medio de información quien custodie la hemeroteca y haga pública la información sólo cuando resulte relevante para la opinión pública (me viene a la memoria el personaje de Jorge de Burgos, el celoso custodio de la biblioteca depositaria de todo el saber humano en “El nombre de la rosa” de Umberto Eco, que resulta ser el mayor censor que incluso asesina a quienes son capaces de encontrar los libros que él prohíbe).
Este mismo razonamiento debería aplicarse a los Boletines Oficiales, que publican indultos, nombramiento de los servidores públicos (personal político de la Administración y funcionarios), adjudicación de puestos de trabajo, adjudicación de contratos públicos, concesión de subvenciones, etc. La publicación de estas decisiones obedece exclusivamente a la necesidad de que los ciudadanos conozcan la forma en que los poderes públicos administran los intereses económicos o políticos, a quién se perdona, se selecciona, se nombra, se contrata o se ayuda y por qué. Estas potestades pueden servir muy fácilmente a intereses oscuros, sólo controlables y evitables si los ciudadanos conocen las decisiones y, por ello, pueden enjuiciar la responsabilidad que se deriva necesariamente de esta actividad. Sólo los menudillos de los boletines (edictos y anuncios) cuya función no es publicar una decisión sino facilitar su notificación, carecen de relevancia pública y su ocultación bajo la alfombra resultaría admisible, a pesar de que reduciría enormemente su efectividad notificadora.
También debería aplicarse este mismo razonamiento a la publicación de sentencias y resoluciones judiciales. Esa política generalizada, salvo la loable y única excepción del Tribunal Constitucional, de “limpiarlas” de los datos personales de las partes a fin de preservar su intimidad es inadmisible ya que impide comprobar cómo se administra la justicia. Una resolución que cambia la forma en que se venían interpretando las leyes no tiene el mismo significado si se dicta beneficiando a un don nadie o frente a un ciudadano poderoso. Por ello, los ciudadanos tenemos el derecho (frustrado actualmente) de conocer, no sólo el contenido de las sentencias, sino también las partes que participaron en la discusión jurídica, ya que la identidad de las partes no es baladí a la hora de valorar su justicia.
Los órganos del Estado están sometidos al principio de publicidad en su actuar y la única excepción a este principio está en la ley de secretos oficiales (de 1968 ni más ni menos) que faculta al Consejo de Ministros y a la Junta de Jefes de Estado Mayor de la Defensa para “clasificar” excepcionalmente como secreto o reservado aquellos asuntos cuyo conocimiento por personas no autorizadas pudiera dañar o poner en riesgo la seguridad y defensa del Estado. La clasificación no limita el pleno acceso a los documentos y materias por parte del Congreso de los Diputados y del Senado, que podrán, en su caso, exigir las responsabilidades que se manifiesten de los documentos secretos.
En democracia, el pueblo tiene derecho a conocer sin limitación alguna todos los asuntos de relevancia que se refieran al actuar de los poderes públicos o, en el resto de los casos, que se hayan hecho públicos. Para ello, las leyes establecen el principio de transparencia en la actuación pública y las libertades de información y expresión, así como las excepciones y límites que tienen tales libertades y principio. Parece de recibo que nadie puede estar legitimado para impedir a los ciudadanos el acceso a la información, sea pública o privada. Tampoco es aceptable la afirmación de que cierta información tiene o no relevancia en algún momento cierto para la formación de la opinión pública libre cuando es imposible conocer qué trascendencia podrá alcanzar esa información en el futuro.
En consecuencia, cualquier interpretación que lleve a la limitación de la transparencia o de las libertades de información y expresión es constitucional-mente inaceptable, pues resulta letal para la democracia y camino derecho a la época oscura donde cierta clase se permitía los desmanes que se le antojaban con la discreta elegancia de impedir a los sometidos que conocieran los hechos. La invocación de cualquier derecho fundamental para justificar el velo sobre la verdad es una atrocidad política inaceptable.

Ni tanto ni tan calvo; sobre la Agencia Española de Protección de Datos

 

Los caminos del Señor, y los criterios de la AEPD son inescrutables.

Hoy veremos cómo 2 supuestos muy similares, arrojan resultados radicalmente distintos, gracias a los criterios interpretativos de la Agencia Española de Protección de Datos.

Supuesto nº1:

Por error, una empresa de telefonía móvil envía factura de otro cliente por email. Los datos revelados por error, incluyen: Nombre y apellido; NIF; Dirección; código postal; localidad; entidad bancaria; número de cuenta bancaria (diez dígitos); detalle de llamadas por número de teléfono.

Supuesto nº2:

Por error, una empresa de reparación de terminales móviles da un pendrive con copia de seguridad de 7 teléfonos distintos al suyo a una clienta particular. Los datos revelados por error, incluyen: Nombre y apellidos del titular del teléfono, fotografías personales, agenda personal con teléfonos, mails y direcciones de sus contactos, lista de llamadas emitidas y recibidas, y sms emitidos y recibidos.

¿Qué diferencia ambos supuestos?

En el primer supuesto, la empresa de telefonía móvil es responsable de un fichero, conforme a la Ley Orgánica de Protección de Datos y responde de los incumplimientos en que haya incurrido.

Sin embargo, en el segundo supuesto, la clienta no es “responsable” de ningún fichero, pues los “ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas” están excluidos del ámbito de aplicación de la LOPD (2.2.a LOPD).

Es lógico y comprensible. No tendría sentido que un latin lover tuviese que informar a sus conquistas de que sus datos serán incorporados a un fichero de su responsabilidad con la finalidad de… Bueno, quizá en este caso concreto… sí podría ser defendible… pero si cada uno de nosotros tuviese que cumplir con la LOPD por los datos de nuestros familiares, amigos y conocidos, seguramente nos encerraríamos en casa.

¿Y qué sucede con la tienda de reparación de terminales móviles? ¿No es responsable por su negligencia?

Pues no. Para la AEPD, al no aplicar la LOPD al dueño del fichero por ser un fichero de agenda personal… el tratamiento que hace la tienda por instrucción del dueño, tampoco está sometido al régimen sancionador de la LOPD.

Si la tienda hubiese utilizado los datos obtenidos para sus propios fines, sí hubiese sido responsable de tratar datos sin consentimiento… pero como lo que hizo fue incumplir con la obligación de deber de secreto con respecto a las 7 personas que vieron vulnerada su intimidad por esta tienda, la AEPD entiende que no procede imponer ninguna sanción.

Sin embargo, a la empresa de telefonía móvil del primer supuesto, le pusieron una multa de 6000 euros contantes y sonantes.

¿Y esto qué supone?

Pues… por poner algunos ejemplos… supone lo siguiente:

• Un servicio de correo electrónico español (p.e. @telefonica.net) no tiene que aplicar medidas de seguridad de ningún tipo a una hipotética base de datos de direcciones de destinatarios de emails de sus clientes.

• Igualmente, si @telefónica.net tuviese un percance de seguridad que afectase a estos datos, tampoco tendría ninguna responsabilidad.

• Un servicio de agenda online dirigido a particulares no tiene por qué cumplir con ninguna de las medidas de seguridad del Reglamento.

…Y un sinfín de ejemplos más.

¿Es correcto el criterio de la AEPD?

A todas luces… no lo es.

Los ficheros recibidos por la persona denunciante del segundo supuesto también incluyen datos personales propios de los clientes de la tienda, que sí son responsabilidad de la misma, y deberían estar protegidos por la LOPD.

Sin embargo, el criterio repetido por la AEPD, no cede ni ante un recurso debidamente motivado.

Lo dicho, los criterios de la AEPD son inescrutables y al parecer, no somos dignos de ponerlos en duda.

 

Jóvenes, Redes Sociales y Protección de Datos

La revolución que ha supuesto la aparición del fenómeno de las redes sociales ha traído consigo, además de incuestionables ventajas, no pocos problemas en relación con distintos ámbitos, pero fundamentalmente focalizados en el derecho al honor, a la propia imagen, la intimidad y la privacidad de los datos personales.|

Y estos se acentúan con especial virulencia en sectores más desprotegidos, como pueden ser la juventud e incluso la infancia, que además son los que hacen un uso más intensivo de estas nuevas herramientas, con lo que constituyen el colectivo más expuesto a sufrir sus potenciales efectos perniciosos.

Las historias, aventuras y desventuras de juventud no mucho tiempo atrás quedaban en la memoria de sus protagonistas, de sus sufridos padres en ciertos casos, y en algún que otro Diario debidamente guarnecido. Hoy día la situación ha cambiado, y los jóvenes comparten sus vivencias en la red, las comentan, las ilustran con fotos, vídeos, estando estos contenidos perfectamente aderezados por toda una suerte de datos personales, que además se replican en otras redes, otros foros, se envían a multitud de destinatarios, etc.

A pesar de las restricciones de accesos a los perfiles, es muy frecuente la pérdida del control sobre los datos y la información, deviniendo en muchos casos prácticamente imposible recuperarlos, con las consecuencias negativas que ello puede acarrear a sus titulares.

Las empresas, aprovechando este fenómeno, utilizan las redes sociales para acercarse al perfil de sus candidatos, conocerlos más profundamente, saber sus hobbys, aficiones, amigos, su carácter, personalidad, etc. Muchos jóvenes que se adentran en el mundo laboral ahora, y que han compartido gran parte de su “vida” en la red, están expuestos a que las empresas conozcan toda la información compartida por ellos y divulgada por Internet, y esto puede causar una importante rémora en sus opciones de inserción laboral.

Por todo esto, resulta vital, en primer lugar, la concienciación y la educación. En las escuelas, colegios e institutos se debe informar y concienciar a los jóvenes de la importancia de velar por su privacidad, de tener precaución con toda la información que suben a la red, que comparten con sus amigos, que incluso almacenan en dispositivos móviles, para evitar sus posibles consecuencias.

Y si la educación conforma el primer pilar sobre el que sustentar la solución a este fenómeno, otro aspecto importante es el normativo, y la necesidad de imponer restricciones a los prestadores de servicios, especialmente las redes sociales importantes, para que el usuario tenga información clara del tratamiento que se hace de los datos que aporta, los cesionarios de los mismos, el uso relacionado con aspectos comerciales o promocionales, etc. También prever mecanismos sencillos y perfectamente visibles para la retirada de contenidos, la modificación de las condiciones de privacidad, o la baja de perfiles de usuarios.

La Unión Europea ya está trabajando en ello, y está elaborando una propuesta legislativa del Derecho al Olvido en las Redes Sociales, que esperemos pronto vea la luz. En España, mientras tanto, actualmente existen instrumentos para tutelar los derechos susceptibles de ser vulnerados en estos ámbitos, fundamentalmente a través de la Ley Orgánica 15/1999, de Protección de Datos Personales (LOPD) y la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), que sin embargo se nos antojan insuficientes para la dimensión y el alcance del problema, que solo podrá ser atajado cuando exista una verdadera conciencia social del mismo, que vaya aparejada con instrumentos normativos claros y eficaces

La urbanización de la Floresta Autonómica: Organismos autonómicos redundantes. (I) Las agencias de protección de datos

Es difícil discutir que el derecho a la autodeterminación informativa de los individuos constituye un derecho fundamental que merece una protección cualificada, más aún en este mundo tecnológicamente avanzado donde el uso descontrolado de la información de las personas puede incidir, no solo en el ámbito de su intimidad sino, incluso, en su libertad. La manera en la que, durante las últimas décadas, se ha procurado proteger este derecho sigue dos tendencias principales: la autorregulación por corporaciones y administraciones supervisada por los tribunales ordinarios que prima en EE.UU., y la existencia de un corpus normativo específico y autoridades públicas de protección propia de la Unión Europea.|

Lo relativamente novedoso de la incorporación al ordenamiento jurídico español de este derecho, si bien en España ya encontraba su arraigo en el art. 18.4 de la Constitución de 1978 como ha confirmado el Tribunal Constitucional en su conocida sentencia 292/2000, de 30 de noviembre de 2000, ha tenido como consecuencia que el derecho europeo haya influido en la constitución de unos mecanismos de protección específicos de este derecho que lo singularizan respecto del resto de los derechos fundamentales que encuentran su salvaguardia, en primer término, en los tribunales ordinarios y, finalmente, en el Tribunal Constitucional.

Así, como consecuencia de la normativa comunitaria -actualmente la Directiva Comunitaria 95/46/CEE de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos-, existen en cada Estado miembro de la Unión Europea unas estructuras administrativas específicas dedicadas en exclusiva a la protección de los datos de las personas física frente a otros particulares o, en determinados casos, frente a las administraciones públicas.

En España existe la Agencia Española de Protección de Datos con la función principal de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos. Es una Agencia de reducido tamaño pero que gracias a una legislación especialmente severa, a una eficaz actuación inspectora y, al mismo tiempo, a una poderosa actuación de concienciación ciudadana, está consiguiendo poco a poco que este derecho tan desconocido como importante vaya encontrando su acomodo en nuestro ordenamiento jurídico.

Sin embargo, en una iniciativa sin parangón en otros estados europeos, al abrigo de una interpretación expansiva de las atribuciones competenciales de autoorganización, algunas Comunidades Autónomas  han iniciado la creación de autoridades autonómicas orientadas tan solo a la protección de los datos personales contenidos en los ficheros de los que la administración autonómica sea responsable.

Paradójicamente, fue la de Madrid la primera Comunidad Autónoma en crear una institución de esta naturaleza, por medio de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid. Cómo es lógico pensar, dada la dinámica en la que estamos inmersos, este impulso fue rápidamente seguido por Cataluña con su Ley 5/2002, de 19 de abril, de la Agencia Catalana de Protección de Datos y por el País Vasco con la ley  2/2004, de 25 de febrero, de Ficheros de Datos de Carácter Personal de Titularidad Pública y de Creación de la Agencia Vasca de Protección de Dato. En Galicia llegó a presentarse a su Parlamento una propuesta de Ley que también preveía la creación de una autoridad de protección de datos, sin embargo, su tramitación fue interrumpida por una convocatoria electoral y, de momento, el proyecto se ha abandonado

En realidad, se trata de entidades con un ámbito competencial tan reducido que dedican más recursos a actividades divulgativas que en actuaciones de inspección propiamente dichas y, en ocasiones, reiterando sus esfuerzos de manera concurrente con la AEPD en una competencia un tanto estéril. Así, por ejemplo, ha surgido la trascendente cuestión jurídica de cuál debe ser la autoridad de protección competente para supervisar las entidades de derecho privado creadas por las Comunidades Autónomas (Fundaciones, Empresas públicas, etc) con Agencias de protección de datos propias.

Por otra parte, la eficacia de estos organismos autonómicos en la consolidación del derecho a la protección de datos de los ciudadanos frente a los poderes públicos es dudosa. Por poner solo un ejemplo, en Madrid y a pesar de su flamante Agencia y de sus múltiples resoluciones en ese sentido, es prácticamente imposible que un  hospital público entregue a un paciente su historia clínica completa sin tener que pasar por un auténtico calvario de reclamaciones y recursos.

Uno se pregunta si no sería más interesante concentrar los escasos recursos disponibles potenciando un único organismo nacional para impulsar y garantizar este derecho en todos los ámbitos donde la legislación lo permite, en vez de difuminar la inversión, y el indudable talento de muchos de quienes allí trabajan, en pequeñas entidades. Como suele decirse, la unión hace la fuerza.