Entradas

El nuevo Reglamento de protección de datos y las entidades deportivas

El  6 de Abril de 2016, la Unión Europea acordó la reforma de su política de protección de datos, instrumentalizada en la aprobación de un nuevo paquete legislativo entre cuyas medidas se incluye la aprobación del Reglamento general de protección de datos 679/2016, en adelante “RGPD”, que introduce novedades y mejoras significativas en la protección de este derecho fundamental de la Unión Europea.

El Reglamento entró en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta el 25 de mayo de este año. Hasta esa fecha, tanto la Directiva 95/46 como la normativa nacional vigente en esta materia, en nuestro país la LOPD y el RD 1720/2007, siguen siendo plenamente válidas y aplicables. Por tanto, se aproxima la fecha de aplicación del RGPD y los organismos públicos, empresas y, por supuesto, las federaciones deportivas y diversas entidades deportivas deberían estar finalizando las diversas tareas de actualización y adaptación de sus políticas y protocolos de protección de datos a las nuevas directrices que establece el Reglamento.

En líneas generales, el nuevo Reglamento trata de reforzar la protección del derecho de  las personas  a la protección de sus datos personales dentro del entorno comunitario, mediante la implementación de un único conjunto de normas directamente aplicable a los ordenamientos jurídicos de los Estados miembros. Esa armonización de la normativa de protección de datos coadyuva a la consecución de un verdadero mercado único digital, al garantizar la confianza y seguridad de los consumidores y la libre circulación de los datos personales entre los Estados miembros de la UE. Las novedades que incorpora este Reglamento exigen para la mayoría de países una concienzuda reforma de sus respectivas legislaciones vigentes en esta materia, de ahí el periodo transitorio de dos años para su entrada en vigor. En nuestro caso, debemos reseñar que el Consejo de Ministros aprobó el 10 de Noviembre de 2017 el proyecto de la nueva LOPD que actualmente se encuentra en fase de tramitación parlamentaria y será difícil que pueda aprobarse antes del 25 de Mayo de 2018.

Como consecuencia de la mayor protección de los derechos de las personas sobre sus datos y el reforzamiento de los diferentes mecanismos de control sobre los mismos, las entidades que tratan en su actividad diaria una gran cantidad de datos personales, algunos muy sensibles, como son las federaciones deportivas, clubes u otras entidades deportivas deberán adaptar su política de protección de datos para no incurrir en responsabilidad disciplinaria a partir del próximo 25 de Mayo.

Tratando de sintetizar las principales novedades y actuaciones que exige el nuevo RGPD, a continuación detallamos las principales cuestiones que, en nuestra opinión, las entidades deportivas deberán tener en cuenta para cumplir con la aplicación del RGPD:

  • Consentimiento: No se admite el consentimiento tácito o por omisión. El consentimiento debe ser inequívoco y explícito, que se deduzca de una clara acción afirmativa del interesado. Entre las principales acciones que se deberían realizar estarían la revisión de la redacción del clausulado legal de obtención de datos personales para que estos se recaben desde el consentimiento expreso y no por omisión o tácitamente, permitiendo que se pueda revocar en cualquier momento, de forma fácil.
  • Transparencia e información a los interesados: Se establecen nuevos requisitos de transparencia y derechos reforzados de información para los ciudadanos. Concretamente, toda información que se facilite a los interesados, ya sea para el tratamiento de sus datos o en respuesta al ejercicio de alguno de los derechos que están previstos, debe ser por escrito y ser concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje sencillo y claro. Recordemos que nuestra LOPD, sólo exige que se preste de forma expresa, precisa e inequívoca.

Concretando se debería revisar y/o modificar el clausulado informativo o nota legal con objeto de que su redacción sea clara y concisa y pueda resultar comprensible para cualquier lego en la materia. El nuevo RGPD establece el contenido mínimo que debe ofrecerse: fines para los que se está recabando el consentimiento, intención de transferencias internacionales, identificación del Delegado de protección de datos, perfiles….etc.

  • Reconocimiento de nuevos derechos: A los derechos tradicionales de acceso, rectificación, cancelación y oposición (“derechos ARCO”) reconocidos por la anterior Directiva comunitaria y por la LOPD, se reconoce a los interesados el ejercicio de nuevos derechos como el derecho al olvido, a la portabilidad de los datos, a la limitación del tratamiento de sus datos, así como la ampliación del derecho de acceso a los interesados permitiendo la obtención de una copia del registro de los mismos y la libertad de circulación de los datos en el entorno comunitario Se debería incidir en la adaptación de los procedimientos implementados para que faciliten a los interesados el ejercicio de estos derechos de una forma sencilla. Igualmente las entidades deben implementar mecanismos de respuesta ágil por parte del encargado del tratamiento que no dilate o ralentice estas acciones.
  • Medidas de responsabilidad proactiva: El nuevo RGPD no establece medidas concretas de control y seguridad, pero invoca el principio de responsabilidad proactiva, o prevención, de los procesadores de datos en función de los riesgos inherentes a cada organización. Entre las principales acciones que se establecen destacamos: 1) análisis de riesgos, protección de datos desde el diseño y por defecto; 2) mantenimiento de un registro de actividades de tratamiento (desaparece la inscripción de ficheros en la AEPD, obligando al responsable y al encargado del tratamiento a la llevanza de ese registro de actividades que equivaldría al actual documento de seguridad; 3) notificación de violaciones de seguridad: el responsable del tratamiento deberá notificar los fallos y violaciones de la seguridad de sus datos a ponerlo en conocimiento en las siguientes 72 horas a la autoridad de protección de datos competente, en España la AEPD; 4) evaluación de impacto de la protección de datos: conocida como EIPD, los responsables del tratamiento deberán identificar, con carácter previo a la implementación de una determinada medida, aquellas que puedan ocasionar un grave riesgo para los derechos y libertades de los interesados.

 

  • Delegado de protección de datos: Destacamos de forma independiente una de las medidas “estrella” de la proactividad de las empresas en la protección de los datos personales de los ciudadanos, el Delegado de protección de datos (DPD o DPO por sus siglas en inglés). Constituye una figura fundamental en la reforma iniciada por el nuevo RGPD europeo puesto que será el encargado de instaurar la cultura de la protección de datos en el seno de la entidad (“data compliance”), con total acceso a la cúpula directiva para asesorar y reformar aquellos procesos o métodos que sean necesarios para el cumplimiento de las nuevas políticas proactivas en esta materia. El RGPD establece una serie de entidades en las que será obligatoria la presencia de un DPD, entre las que debemos incardinar a las federaciones deportivas o los clubes deportivos por tener entre sus actividades principales el tratamiento a gran escala de datos sensibles o la observación habitual y sistemática de un número elevado de interesados.

El DPD mantendrá el contacto con la autoridad competente en esta materia y debe de tener autonomía en el ejercicio de sus funciones, debiendo el encargado o el responsable del tratamiento facilitarle todos los recursos que requiera para que pueda desarrollar su actividad. Será designado por sus cualidades profesionales y conocimientos especializados en esta materia, pudiendo formar parte interna de la plantilla de trabajo o ser externo y desempeñar sus funciones mediante un contrato de prestación de servicios. En aras de facilitar la labor de aquellas empresas que se vean obligados a contratar a un DPD, la AEPD redactó un esquema de certificación de Delegados de Protección de Datos con este objeto.

Otros aspectos como el establecimiento de los trece años como la edad mínima en la que el menor puede prestar su consentimiento para el tratamiento de sus datos, la transferencia de datos a nivel internacional o el régimen sancionador que prevé para los supuestos muy graves la imposición de multas administrativas de hasta veinte millones de euros o del 4% del volumen del negocio anual total si se trata de una empresa, reiteran la apuesta de la UE por este nuevo marco de protección de datos único para todos los Estados miembro.

En estos tres meses que restan para la aplicación del RGPD, salvo aprobación del nuevo proyecto de LOPD que actualmente se encuentra actualmente en fase de debate parlamentario, estas directrices, genéricas e interpretables en muchos casos, serán de obligado cumplimiento para todas aquellas entidades o federaciones deportivas cuyo obtención, tratamiento y protección de los datos que utilizan en el desempeño de su actividad cotidiana, y en consecuencia deben finalizar sus trabajos de adaptación para cumplir con las medidas enumeradas y no cometer ninguna infracción que derive en sanciones pecuniarias cuyo importe puede llegar a ser muy elevado.  Es importante reseñar que en el supuesto en el que no se apruebe el proyecto de nueva Ley Orgánica de Protección de datos antes del 25 de Mayo de 2018, el RGPD entrará directamente en vigor coexistiendo con aquellos artículos de la LOPD actual y su Reglamento de desarrollo que no se opongan en su redactado a lo estipulado por el Reglamento, generando graves problemas de inseguridad jurídica a entidades y ciudadanos.  Como referencia, señalar que a fecha 24 de Enero del presente año, únicamente Austria y Alemania han finalizado sus procedimientos legilastivos de adaptación a la nueva normativa comunitaria.

Por eso recomendamos a todas aquellas entidades deportivas que no hayan iniciado ningún trabajo de adaptación al nuevo RGPD, concierten convenios de colaboración empresarial con expertos en “data compliance”, como es el caso de GC Legal, con objeto de implementar a la mayor brevedad posible las principales tareas de adaptación al nuevo RGPD.

Las “nuevas” restricciones al flujo de datos de solvencia patrimonial en el Proyecto de Ley Protección de datos personales

Como complemento al post que publiqué ayer relativo a la, a mi juicio, deficiente regulación del préstamo responsable en el Proyecto de Ley de Crédito Inmobiliario, es necesario hacer referencia al  Proyecto de LOPD de 24 de noviembre de 2017 (PLOPD) en lo que se refiere a los flujos de datos de solvencia patrimonial. Difícilmente se puede construir un adecuado régimen jurídico del préstamo responsable si el prestamista carece de datos ciertos y fiables acerca de la solvencia del prestatario.

Hay que partir de la premisa de que a los prestamistas les interesa que haya información asimétrica en el mercado de crédito. Las dificultades que genera esta falta de datos fiables provoca que sea más difícil distinguir entre buenos y malos pagadores, mayor riesgo que se compensa con el aumento del coste crediticio para todos los solicitantes, pagando justos por pecadores, tal y como expliqué aquí. Pero además, las restricciones al flujo de datos de solvencia dificultan el establecimiento de consecuencias jurídicas para el prestamista cuando no evalúa correctamente la solvencia del prestatario: siempre se ampararán que no hay datos fiables o que ha sido el consumidor el que no ha aportado información relevante. Dejar en manos del consumidor la responsabilidad de aportar todos los datos de solvencia, facilita la impunidad del préstamo irresponsable. Y es de esperar que las asociaciones de consumidores empiecen a percibir que cuando se oponen al flujo de datos positivos a quien están tutelando es a la banca y no al consumidor.

Por eso, aun con riesgo de aburrir al lector con estos temas, se trata de dos cuestiones íntimamente relacionadas y que están encima de la mesa con dos proyectos de ley en tramitación: la regulación del préstamo responsable y la de los datos de solvencia patrimonial.

El PLOPD tiene como objetivo el desarrollo o complemento del Reglamento Europeo de protección de datos personales de 27 de abril de 2016 (REPD). Aunque este texto es de eficacia directa puede exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación.  Este es el objetivo del proyecto.

El REPD no establece ninguna regulación específica en materia de datos de solvencia patrimonial. Sí se ocupa de ello el PLOPD. Y a explicarla brevemente me voy a ocupar en este post.

El proyecto dedica el art. 20 a la regulación del “sistema de información crediticia”, ocupándose sólo de los datos de solvencia negativos. A diferencia del Anteproyecto de LOPD que incluía una regulación de los ficheros positivos de solvencia en su art. 14 estableciendo la necesidad de consentimiento del afectado para que la entidad compartiera datos de solvencia positivos (aquellos que reflejan el nivel de endeudamiento del deudor y su buen comportamiento crediticio). Por el contrario, tal consentimiento no era preciso para que se compartan datos negativos (los denominados ficheros de morosos).

Pues bien, la primera novedad es que en el PLOPD deja sin regulación a los ficheros positivos de solvencia, esenciales para que el prestamista pueda evaluar la solvencia. Esto puede ser una buena o mala noticia según se mire. Buena porque desaparece del texto la necesidad de consentimiento del afectado, dejándose la puerta abierta a que los datos de solvencia puedan compartirse con base en otros criterios que determinan la licitud del tratamiento como son el interés legítimo perseguido por el responsable del tratamiento de los datos o por un tercero siempre que sobre dichos intereses no prevalezcan los derechos y libertades fundamentales del interesado.

Conviene llamar la atención de que, en el REPD, el consentimiento es un título más que legitima la licitud de tratamiento de los datos personales y que convive con otros del mismo rango como el interés legítimo del responsable del tratamiento o el cumplimiento de una obligación legal o de una misión de interés público (art. 6). No sucede como, en la todavía vigente, LOPD en la que el consentimiento es el título de legitimación principal que se excepciona en determinados casos. Por lo tanto, el hecho de que el PLOPD excluya la referencia a la necesidad de consentimiento no impide que se puedan compartir los datos con base en otro título que legitime la licitud del tratamiento y que entre la regla general del consentimiento. Con base en el REPD, el consentimiento no es la regla.

Pues bien, el art. 20 PLOPD sí que se refiere a los datos negativos de solvencia, señalando que, salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan una serie de requisitos.

A diferencia del actual art. 29 LOPD en que tal presunción no existía, sino que el flujo de datos negativos era posible y lícito sin consentimiento del afectado, ahora se establece una presunción de licitud y sólo para los datos negativos.

¿Por qué se establece sólo una presunción de licitud? Parece que el cambio lo ha motivado el Dictamen del Consejo de Estado sobre el Anteproyecto de LOPD al señalar que el REPD no permite que los Estados miembros determinen ex lege cuándo un tratamiento de datos corresponde a un interés legítimo, sino que éste debe ser valorado en cada caso por el responsable del tratamiento y, en su caso, por las autoridades de protección de datos y los órganos jurisdiccionales.

Vamos que el razonamiento es el siguiente: como ningún particular daría su consentimiento para que se compartieran datos negativos de solvencia, el sistema se construye sobre la base de una presunción de interés legítimo del responsable del tratamiento de los datos, de forma que no haya que esperar a una resolución ad hoc de la Agencia de Protección de Datos para que los morosos puedan ver sus datos negativos en un fichero de solvencia patrimonial.

¿Y por qué no se ha seguido el mismo criterio con los ficheros positivos? Pues por lo de siempre: la presión de las entidades financieras. Las mismas razones que justifican que los prestamistas compartan datos negativos de solvencia, fundamentan que se compartan datos positivos, tal y como he señalado en otras ocasiones.

Un ciudadano con ingresos y sin haber sido moroso puede ser un insolvente si tiene muchos préstamos asumidos. Esta información queda fuera del sistema en España con este nuevo proyecto, o a expensas de que la Agencia de Protección de Datos (APD) considere si hay o no interés legítimo. Ya sabemos cuál es la opinión de la APD al respecto, absolutamente contraria a que se compartan datos positivos de solvencia patrimonial sin consentimiento del afectado, algo que beneficia a las entidades financieras dominantes que no quieren compartir datos de sus buenos clientes. Sin embargo, cualquier dato, pertinente o no, puede ser solicitado por las entidades financieras tal y como expliqué aquí.  La buena reputación financiera sigue encontrando con este Proyecto de LOPD muchos obstáculos, encubriéndose un problema de competencia de uno de privacidad tal y como explico en este video y en este.

Pero esto no es todo, también se imponen restricciones adicionales al flujo de datos negativos de solvencia que sólo favorecen a los morosos. Así, y por citar un ejemplo, el tiempo que los datos negativos tienen que estar en un fichero se ha reducido. En la regulación actual, a los 6 años, el dato negativo debe desaparecer del fichero a pesar de que la deuda no se haya cumplido cuando se trata de deudas de vencimiento no periódico. Esto significa que la cantidad adeudada que aparece en el registro siempre será menor que la realmente debida. El PLOPD reduce este plazo a 5 años (art. 20.1 d)). Esto genera todavía más información asimétrica incluso para los datos negativos. Así es imposible introducir disciplina en el mercado de crédito: la LOPD favorece a los morosos y el Proyecto de Ley de Crédito Inmobiliario (PLCI) favorece al prestamista irresponsable. En suma, todo un despropósito.

No tiene sentido que se establezca la obligación de evaluar la solvencia en el PLCI y, sin embargo, en otro proyecto de ley se establezcan estas restricciones al flujo de datos de solvencia patrimonial. El planteamiento no puede ser más contradictorio. Las entidades financieras e intermediarios de crédito deben estar obligadas a compartir datos de solvencia positivos y negativos y deben estar obligadas a consultar las bases de datos. Esto lo tiene que establecer el PLCI. Por su parte, el PLOPD debe legitimar el tratamiento de estos datos con base en “el cumplimiento de una obligación legal”. Este diseño no lo impide el REPD que da este margen de maniobra en el art. 6.2.

Cosa distinta es que esta regulación deba venir acompañada de otra específica para el control de la actuación de los bureaus de crédito, al estilo de la establecida en la Fair Credit Reporting Act en Estados Unidos. Se puede proteger perfectamente la privacidad sin necesidad de diseñar un sistema que favorezca a los morosos y a los prestamistas irresponsables. Basta con crear un marco jurídico que incentive la disciplina de los operadores del mercado de crédito.

Aprovecho para poner el link de la extraordinaria conferencia impartida en el Congreso sobre Insolvencia y Mercado de Crédito por el prestigioso profesor don  Jorge Padilla sobre “Efectos económicos de los sistemas de información crediticia”. https://www.youtube.com/watch?v=5M7snNShtIY&feature=youtu.be

HD Joven: El nuevo Reglamento General de Protección de Datos y la realidad práctica de las más recientes resoluciones judiciales

Las  Nuevas Tecnologías de la información y los datos personales están en constante cambio y transformación. Cada día aparecen nuevas formas de transferir datos, inventos que facilitan al ser humano su desarrollo y nuevos métodos de análisis e investigación basados en la tecnología junto con las primeras grandes nuevas tecnologías aplicadas.

Por eso, hoy en día está en boca de todos que próximamente (mayo de 2018) entrará en vigor el nuevo Reglamento general de protección de datos (General Data Protection Regulation). Una gran parte de la población está especialmente pendiente de esta normativa, porque plantea grandes modificaciones para las empresas y los ciudadanos que, además, también  afectarán a las Administraciones Públicas. Pero, ¿qué está ocurriendo verdaderamente en la práctica del mundo de los datos? ¿Cuáles son las infracciones más “denunciadas”? ¿Y cómo están resolviendo los órganos jurisdiccionales en esta materia de constante e imparable movimiento?

En primer lugar, no es característicamente alto el volumen de resoluciones en materia de protección de datos. Y esto es así porque, como los primeros conflictos en esta materia han tenido lugar tras el especial auge de las Nuevas Tecnologías (cuyo comienzo señalan los expertos que tuvo lugar a partir de mediados del año 2007, con la llegada del Iphone), es lógico que un número suficiente de los conflictos no han llegado a las instancias judiciales hasta pasados varios años,  por lo que no hemos comenzado a tener un número bastante de resoluciones hasta los años 2014 y 2015.

Dentro de esta falta de suficientes resoluciones, lo cierto es que podemos diferenciar dos situaciones: la situación nacional y la europea, o, lo que es lo mismo, las resoluciones de órganos jurisdiccionales españoles y las resoluciones del  Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH).

A nivel nacional, un gran número de sentencias de los altos tribunales (Tribunal Supremo –TS- y Tribunal Constitucional –TC-) se han centrado en el análisis de la vulneración (o no) del derecho a la protección de datos en la videovigilancia en el centro de trabajo y en el tratamiento automatizado de datos sin consentimiento del trabajador. A modo ilustrativo, puede leerse la Sentencia del Tribunal Superior de Justicia de Madrid de 29 de septiembre de 2014,  la Sentencia del TS de 12 de noviembre de 2015 y la Sentencia del TC de 3 de marzo de 2016. En resumen, nuestros órganos han venido a resolver considerando que no existe vulneración del derecho a la protección de datos en la videovigilancia  empresarial en el centro de trabajo siempre y cuando la finalidad sea la seguridad y/o el control laboral. En este mismo ámbito, se ha estimado que se vulnera la protección de datos de carácter personal y el honor de los trabajadores cuando se transmite de una empresa a otra un “fichero de personas conflictivas” o “lista negra”.

Otra cuestión que ha sido tratada por jueces y magistrados españoles es la posibilidad de que el ciudadano, no personaje público, se oponga a que sus datos personales aparezcan en un simple buscador de Internet al que todos tenemos acceso. Por otro lado, como decíamos, las Administraciones tampoco se salvan de verse envueltas en esta tormenta. Ha sido el TC el que, por Sentencia de 25 de septiembre de 2015, ha tratado el derecho del interesado a ser informado, tanto de la posibilidad de que sus datos del Registro autonómico sean cedidos, como del concreto destino de éstos, concluyendo que no es suficiente con que el interesado conozca que tal cesión puede tener lugar, sino que ha de ponerse en su conocimiento también las circunstancias de cada cesión concreta (a quién se ceden, qué información se transfiere y con qué finalidad se proporcionan).

Partimos, por lo tanto, de que son pocos los casos que llegan a los tribunales españoles, y por ello, los pronunciamientos en materia de protección de datos de altas instancias son insuficientes.Y, dentro de esa escasez, predominan las resoluciones sobre protección de la imagen como dato personal en el ámbito laboral.  Ello hace que no exista una base sólida de casos que permita fijar conceptos y límites en el ejercicio de derechos fundamentales dentro del mundo de la tecnología y los datos personales.

A nivel  europeo tendremos que diferenciar dos líneas: la del TJUE y la del TEDH. Y ello porque, al ser sus funciones distintas, la línea de sus resoluciones también difieren entre sí, aunque son acordes a las funciones que cada uno tiene encomendado. Encontramos, sin ánimo de ser exhaustivos, desde 2014 en adelante, varias resoluciones: la Sentencia del TJUE de 11 de diciembre de 2014, la  Sentencia del TJUE de 1 de octubre de 2015, y, más recientemente, la del TJUE de 4 de mayo de 2017  o el Dictamen del mismo órgano de fecha 26 de julio de 2017. Todas ellas examinan el cumplimiento de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación, y su relación a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas. De manera resumida, tienen especial importancia las siguientes ideas:

  • La imagen de una persona grabada por una cámara constituye datos personales porque permite identificar a la persona en cuestión.
  • Si una Administración Pública de un Estado miembro transmite datos personales a otra Administración,  dicha Administración Pública remitente debe informar a los interesados de la transmisión.
  • El responsable del tratamiento de los datos no está obligado a comunicar datos personales a un tercero para que éste último pueda interponer una demanda frente a un sujeto del fichero a quien pretende demandar. Sin embargo, nada impide que el Derecho nacional permita tal comunicación.

Como vemos, la falta de una cantidad suficiente de procesos lleva a que las reflexiones y los pronunciamientos sean sentencias sobre materias desmesuradamente concretas, sin poderse fijar una línea de conocimiento central.

Por su parte, el TEDH ha acumulado un mayor número de resoluciones judiciales que el TJUE, en las que sí han llegado a definirse unos conceptos mínimos del universo de las tecnologías. Y, en concreto, se ha procedido a definir qué son los datos personales (Caso  Mccullough v. Cedefop), qué puede entenderse por procesamiento de datos personales (Caso Smaranda Bara et Al. V. Presedintele Casei Nationale de Asigurari De Sanatate y Caso Weltimmo s. r. o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.), qué son los principios de necesidad y  proporcionalidad (Case ClientEarth.), medidas de seguridad (Caso Worten-equipamentos para o Lar Sa V. Act Authority for working conditions), el concepto de información (Caso Smaranda bara) o qué debe entenderse por un nivel mínimo de protección (Caso Maximillian Schrems contra Data Protection Commissioner), entre otros.

Además, desde esta misma perspectiva internacional, resulta que Alemania cuenta con un Libro blanco (o White book, esto es, un informe o publicación oficial del gobierno en una materia para plantear datos, estándares y soluciones) dirigido a los órganos legislativos o/y a la opinión pública para comprender, resolver y afrontar la protección de datos.  Reino Unido también cuenta con un Libro blanco que fija parámetros para evaluar el impacto sobre la privacidad de los procedimientos de gestión de datos. Si recientemente Alemania, pionera en la industria de la tecnología energética, ha procedido a plantear el referido Libro blanco para analizar en profundidad el tema de la protección de datos y, mucho antes,  Reino Unido, el grandioso centro de cruce de valiosos datos, creó el suyo propio, parece cuanto menos, conveniente, que España al menos se plantee la necesidad y el beneficio de contar con dicho tipo de informe que recoja reglas y  pautas útiles en esta materia.

Frente a la referida escasez, las publicaciones, obras y comentarios que tratan el tema de la protección de datos son altamente numerosas. Dentro de esta variedad, podríamos resumir las principales informaciones con un desarrollado titular: el derecho fundamental a la protección de datos personales es uno de los más importantes en la sociedad actual, dentro del cual los datos se han convertido en el petróleo de la economía moderna, en una moneda de cambio. Esto genera grandes retos y responsabilidades que gobiernos e instituciones deben enfrentar de manera obligada, pues el proceso de globalización en el que vivimos y el continuo avance tecnológico unidos a  la falta de conocimientos y de información del ciudadano de a pie, está llevando a los usuarios a sufrir una falta de control sobre los datos que ceden. Y es que acceder a internet o crearse una cuenta en una red social es gratuito, pero detrás de esa aparente gratuidad, existe un ansiado valor “extraordinario” para las empresas y el mercado: información, datos, que les permiten conocer  los gustos y tendencias del consumidor y actuar acorde a ellos en el mercado.

 

¿Por qué es bueno para el consumidor que las entidades financieras compartan datos positivos de solvencia?

Resulta muy curioso que en España no exista ningún tipo de debate sobre un tema TRASCENDENTAL para la prevención de crisis financieras, como es el relativo al flujo de datos sobre solvencia patrimonial. Al final del post espero que todos puedan entender por qué ni se habla ni se quiere que se hable de este tema.

En este post quiero reflejar las ventajas que tiene esta cuestión para los consumidores, problema al que –sorprendentemente- las asociaciones de consumidores en España no han prestado ninguna atención, a pesar de que el que exista información asimétrica en el mercado de crédito en realidad a quienes favorece es a los bancos.  No me puedo creer que estas asociaciones hayan cambiado de bando. Prefiero pensar que lo que hay es un desconocimiento de las ventajas reales que tiene el que las entidades compartan datos positivos de solvencia.

En España los datos que se refieren a nuestra mala reputación financiera fluyen sin problemas. Si incumplimos nuestras obligaciones o nos declaramos en concurso de acreedores, todos los prestamistas lo saben rápido. No es, por supuesto, necesario el consentimiento del afectado para que los bancos compartan esos datos. La privacidad se protege de “otra forma”, sin que se supedite la transferencia de datos al consentimiento del afectado, quien, obviamente, no lo daría nunca.

Sin embargo, los datos positivos de solvencia, (préstamos asumidos que no han sido incumplidos, están pendientes o han sido correctamente satisfechos) que son los que demuestran nuestra buena reputación financiera, no fluyen con la misma facilidad. Para que el prestamista comparta estos datos a un bureau de crédito (por ejemplo, Experian, Equifax) se necesita el consentimiento del afectado. Así lo dice el art. 14 de Anteproyecto de LOPD que acaba de hacerse público y que pretende adaptar nuestra regulación al Reglamento Europeo de Protección de Datos (REPD). Adelanto ya que el Reglamento nada dice de los datos de solvencia patrimonial. La regulación proyectada es de “cosecha propia” del legislador español.

Es cierto que la Central de Información de riesgos del Banco de España (CIRBE) actúa como registro de crédito y provee de información información positiva a las entidades declarantes, pero no toda la información que recibe de éstas es compartida: solo podrán acceder a operaciones cuyo riesgo acumulado con la entidad sea, al final del mes al que se refieren los datos, igual o superior a 9.000 euros.

Por lo tanto, si yo sólo tengo una tarjeta revolving con una entidad con un límite de 3.000 euros, ese dato no lo comparte la CIRBE con el resto de entidades. Permanece opaco. Y puedo tener otra tarjeta en otra entidad que no sabrá de la anterior. El régimen jurídico deja espacio a la información asimétrica de forma deliberada…

¿Y por qué los datos que evidencian mi buena reputación financiera fluyen con más restricciones que los que muestran que soy un moroso? Se dice que la privacidad del particular se ve más comprometida porque morosos solo hay unos pocos y los ficheros positivos incorporarían datos de todos los ciudadanos que tienen préstamos asumidos.
La excusa es la protección de la privacidad y es una excusa porque los datos positivos no son más sensibles que los negativos. Todo lo contrario.  No informan de en qué nos hemos gastado el préstamo asumido. Señalan que tenemos, por ejemplo, tres tarjetas de crédito, los límites disponibles y que pagamos religiosamente el recibo todos los meses. Es decir, los datos positivos informan del nivel de endeudamiento y de nuestro buen comportamiento crediticio.

Ahora que tanto se habla de préstamo responsable y tenemos que transponer la directiva de crédito hipotecario, cualquiera entenderá que malamente se puede exigir al prestamista que evalúe la solvencia del deudor si no le proporcionamos datos precisos para que pueda hacerlo. Si solo le damos datos negativos, la información es incompleta (información asimétrica), porque yo puedo no ser moroso (porque no he incumplido), tener un buen sueldo y haber asumido un montón de deudas con otros prestamistas. Si el banco al que le pido el préstamo no conoce que deudas tengo asumidas con otros prestamistas se arriesga a dar crédito a personas ya sobreendeudadas. Y esto pasa cuando el banco al que le pido el préstamo no tiene acceso a datos positivos de solvencia. Por eso, el flujo de datos positivos es una herramienta para la prevención del sobreendeudamiento privado que está detrás de esta crisis.

¿Cuáles son las ventajas reales que para el consumidor tiene el que se compartan datos positivos?

1º. Fomentan la inclusión financiera: se presta más y se presta mejor. Cuando el prestamista carece de información fiable, su reacción es la de denegar créditos a personas que deberían ser aceptadas o pedir garantías adicionales. Con los ficheros positivos, aumenta la tasa de aceptación. En una simulación realizada en EEUU, con una tasa aceptada de incumplimiento del 3%, si solo se comparte información negativa, la tasa de aceptación era del 39,8%. Incorporándose datos positivos, la tasa se incrementa al 74,8%. La diferencia es sustancial.

Esto se entiende con un ejemplo cotidiano. Un matrimonio casado en régimen de gananciales que tienen tres hijos comunes. Sobreviene el divorcio y el cónyuge custodio pide nuevas tarjetas de crédito en distintas entidades o comercios. La respuesta en un sistema en el que solo se compartan datos negativos es que se le aplique el riesgo promedio. Un divorciado que tiene la custodia de tres hijos tiene un riesgo promedio de impago alto porque estadísticamente son los que impagan. Si el prestamista no puede acceder a sus datos positivos de solvencia, la probabilidad de denegación es alta o si se le concede una tarjeta revolving, el límite disponible será bajo. Por lo tanto, que no fluyan datos positivos genera exclusión financiera para sujetos que no lo merecen. Si solo se atiende a criterios de capacidad de pago y no de comportamiento de pago, se restringe el acceso al crédito.

También se aprecia este efecto en el mercado arrendaticio ¿Se imaginan las ventajas que puede tener el que el arrendador pueda acceder al historial crediticio del potencial inquilino? En España contratamos a ciegas, porque el arrendador no tiene forma de saber si el inquilino es solvente o no. Pero qué casualidad, esta opacidad de información genera un mercado que beneficia a las entidades financieras dada la habitual exigencia de avales como garantía…

2º. Disminución de la tasa de morosidad.

Si solo fluye información negativa se sanciona a los deudores que han incumplido, pero no se informa de los prestatarios de alto riesgo que todavía no han incumplido, pero tienen un alto nivel de endeudamiento. Y no basta mirar la nómina y que no haya impagos. Un señor con una nómina de 5.000 euros y pasivos contraídos por 4.500 es un deudor insolvente. Los ficheros negativos no informan de los pasivos contraídos y ello provoca que aumente la tasa de incumplimiento. Ésta, por el contrario, se reduce si también se comparten datos positivos.

Este efecto está testado empíricamente. Un estudio con muestras tomadas de países de América Latina (Argentina y Brasil), y sobre la base de información positiva compartida por Registros públicos, pone de relieve la disminución de las tasas de incumplimiento cuando se comparte información positiva Así, en Argentina la disminución de la tasa de incumplimiento fue de un 21,8% y en Brasil de un 45,4%, sobre la base de un porcentaje de aprobación del 60%.

3º. Permiten el ajuste del coste crediticio a la prima de riesgo, como pasa en los seguros.

Cuando se comparten datos positivos, se evita que el riesgo de incumplimiento se propague a los buenos pagadores. Cuando el prestamista no tiene datos suficientes, tiene dos opciones: O aumenta las denegaciones de crédito, o concede el préstamo aumentando el coste crediticio a todos los solicitantes: buenos y malos pagadores. Es decir, ante el mayor riesgo de incumplimiento consecuencia de no poder distinguir entre buenos y malos pagadores (por falta de datos), las entidades tenderán a integrarlo en el cálculo del coste del crédito para todos los prestatarios, de manera que los buenos pagadores asuman los costes del incumplimiento de los malos pagadores. Esta es la amenaza constante de la banca ante regulaciones como la segunda oportunidad o las sentencias que protegen los derechos de los deudores. Su amenaza es aumentar el coste A TODOS. Y ya lo han hecho: en España tenemos ya el crédito al consumo más caro de la Eurozona y ya esté empezando a pasar con el préstamo hipotecario

No es verdad que para tener un crédito barato haya que diseñar un sistema que proteja desmesuradamente a los acreedores. Lo determinante es el sistema de información crediticia y que el coste se ajuste a la prima de riesgo como sucede con el seguro.

Un ejemplo de esto lo tenemos en USA donde son los propios consumidores los que piden a los prestamistas que compartan datos positivos porque les beneficia ¿Cómo?

Con los datos positivos y negativos que los prestamistas proporcionan a los credit bureau, éstos determinan el credit score o prima de riesgo con base a los datos obrantes en el informe de crédito. Pedir un préstamo y pagarlo mejora el score.

El rango de calificación FICO es de 300-850 puntos. Cuanto más alto es, mejor. Se clasifica a los solicitantes en función de su score en Excelente, muy bueno, bueno, razonable y deficiente o subprime. El coste crediticio es distinto en función de la prima de riesgo. Así, en tarjetas de crédito revolving, el tipo de interés para la calificación de excelente era del 14% y para una calificación de subprime 24,99%. La diferencia es sustancial. Ser buen pagador, tiene premio y eso supone un incentivo al buen comportamiento crediticio que es lo que necesitamos en España: que los deudores tengan incentivos PARA CUMPLIR.

Esto no pasa en España: aquí pagamos igual buenos y malos pagadores.

Y si son tantas las ventajas ¿Por qué en España se dificulta el flujo de datos positivos y se favorece solo el de los negativos?

Porque en el fondo a quien se está protegiendo con este sistema es a los bancos. Y ello por dos razones:

1º. Obligar a las entidades a compartir datos positivos o eliminar barreras para su flujo favorece la competencia entre entidades financieras. Si los datos positivos del cliente fluyen, éste tiene más posibilidades de cambiar de prestamista porque cualquiera de los que operan en el mercado pueden acceder a su historial crediticio y hacer ofertas a los mejores clientes. Y esto es lo que no quieren las entidades dominantes en un sistema financiero tan concentrado como el nuestro.

Cuando unos bancos tienen muchos más clientes que otros, las entidades de mayor dimensión no tienen interés en compartir datos porque aportan más de los que reciben, luego su incentivo es negativo. ¿Creen ustedes que el Banco de Santander quiere compartir datos, por ejemplo, con ING? Evidentemente no: aporta más de lo que recibe.

La negativa a compartir información positiva obstaculiza la competencia y no permite que un buen consumidor aproveche sus buenos antecedentes crediticios a fin de obtener mejores condiciones de préstamo. Por eso en en EEUU han sido los propios consumidores los que han pedido a American Express que comparta los datos de sus clientes.

2º. Que no se compartan datos positivos dificulta la regulación del préstamo responsable.

Sin datos fiables no es posible construir un régimen adecuado de la obligación del prestamista de evaluar la solvencia. Si dejamos en manos del consumidor la información sobre su solvencia, la entidad se escudará en ello para no responder y dar préstamos sin saber el nivel de endeudamiento del cliente.

Esta vinculación está presente en la Directiva de Crédito hipotecario y la de Crédito al consumo que regulan la obligación de evaluar la solvencia y exige que todos los Estados miembros puedan acceder a las bases de datos pública y privadas de otros Estados. Parece claro que malamente se puede obligar al prestamista a evaluar la solvencia si no se le proporcionan datos fiables para realizar tal evaluación. Sin datos tampoco se podrán establecer sanciones para el caso de incumplimiento, sanciones que según la Directiva de crédito hipotecario deben ser disuasorias, efectivas y proporcionadas.

En conclusión, que las entidades compartan datos positivos es BUENO PARA EL CONSUMIDOR y la protección de la privacidad es una excusa. El Anteproyecto de LOPD que acaba de publicarse PONE TODAVÍA MÁS OBSTÁCULOS AL FLUJO DE DATOS POSITIVOS a los bureaus de crédito privados ¿SE PUEDE LEGISLAR PEOR? Yo creo que no… Menos mal que los cambios vendrán de la UE, pero eso lo cuento en otro post.

Novedades e implicaciones prácticas del nuevo Reglamento General de Protección de Datos Personales de la UE .

El pasado 18 de enero la Fundación Hay Derecho organizó en el Colegio de Abogados de Madrid una mesa redonda sobre las novedades que introduce el Reglamento General de Protección de Datos (RGPD) que ha entrado en vigor 25 de mayo de 2016 y será de obligado cumplimiento en toda la UE el 25 de mayo de 2018.

La UE ha profundizado en la protección de la privacidad desde una regulación general y el instrumento normativo ahora es un Reglamento (a diferencia de la Directiva de Protección de datos de 24 de octubre 1995) que, por lo tanto, resulta de aplicación directa, aunque también deja cierto margen al derecho local.

Sin duda, el RGPD es actualmente una de las normas más importantes de la legislación europea, puesto que se trata de una norma transversal, que afecta a todos los ámbitos. Por eso esta materia interesa a todos, ciudadanos, juristas, empresarios y a todos aquellos que manejen datos personales.

Los cambios que introduce la nueva regulación son de enorme calado, pudiéndose hablar de un “nuevo modelo europeo de protección de datos”.

Las novedades afectan a cuestiones tan relevantes como los deberes de información, la forma en la que debe prestar el consentimiento el titular de los datos que debe ser siempre “explícito”. Se introducen nuevas herramientas para el control de los datos como el derecho al olvido o la portabilidad de los datos. Las empresas y organismos deberán introducir muchos cambios en su forma de actuar, adoptando medidas en materia de prevención, de forma que puedan demostrar que están condiciones de cumplir las normas que el Reglamento establece.

¿Cómo debe adaptarse la legislación española al nuevo Reglamento? ¿Cómo puede el titular de los datos utilizar las nuevas herramientas de control de sus datos? ¿Cómo afecta la regulación a los ficheros de solvencia patrimonial (conocidos como “ficheros de morosos”)? Se trata de cuestiones relevantes que van a afectar al día a día de los ciudadanos. Por eso, desde la Fundación Hay Derecho decidimos organizar este evento, moderado por la coeditora Matilde Cuena,  en el que intervinieron ponentes de reconocido prestigio, especializados en la materia con los que pudimos aprender y debatir.

Para don Juan Antonio Hernández Corchete (Profesor Titular de Derecho Administrativo. Universidad de Vigo. Letrado del Tribunal Constitucional. Experto ante el Consejo Asesor de Google sobre Derecho al olvido), el RGPD supone un gran paso adelante porque reduce la disparidad normativa, con lo que fomenta un mercado digital único. Esa uniformidad tiene como inconveniente que los conceptos genéricos como el de interés legítimo como base legal de tratamiento no puede ser precisado normativamente por los Estados Miembros, pues solo así se evita la vuelta a la disparidad. También reduce la disparidad en la ejecución, a través de la regla de one stop shop (ventanilla única) y del mecanismo de coherencia atribuido al Comité Europeo de Protección de Datos.

Respecto a cómo impacta el RGPD en la normativa nacional, don Antonio Troncoso (Catedrático de Derecho Administrativo. Universidad de Cádiz. Exdirector de la Agencia de Protección de Datos de la Comunidad de Madrid) señaló que el RGPD desplaza la normativa nacional que sea incompatible con el Reglamento europeo. Por ello, se deben inaplicar los preceptos de la Ley Orgánica de Protección de Datos Personales (LOPD) y Reglamento español de Protección de Datos Personales (RPDP) que sean incompatibles con el RGPD. Le corresponde al legislador y al Gobierno derogar esas normas para garantizar la seguridad jurídica. Hay que tener en cuenta que la primacía del derecho comunitario no es supremacía y no afecta a la validez de las normas internas. El RGPD, si bien ha reducido el núcleo decisorio de capacidad normativa de cada Estado, establece algunas excepciones permitiendo previsiones normativas de los Estados miembros, en algunas materias como la definición del interés público por Ley de cada Estado, el ámbito sanitario, las relaciones laborales o el consentimiento de los menores de edad.

En relación a las implicaciones del RGPD en el ámbito sanitario se pueden subrayar algunas cuestiones: el RGPD define el dato de salud, tomando en gran medida la definición del RPDP, añadiendo el pago de una prestación sanitaria; mantiene la tipología de datos especialmente protegidos, incluyendo los datos biométricos y los datos genéticos, que se diferencian de los datos de salud; añade la medicina preventiva o laboral y la evaluación de la actividad laboral del trabajador, la calidad y la seguridad de los medicamentos y la garantía del régimen del seguro de enfermedad como finalidades legítimas para el tratamiento de datos especialmente protegidos sin consentimiento del interesado; lleva la investigación sanitaria al régimen general de la investigación histórica, estadística y científica, exigiendo el principio de minimización de los datos personales y la seudonimización, pero no avanza en los criterios de legitimación de estos tratamientos –consentimiento o ley-.

Uno de los aspectos más novedosos del RGPD es el nuevo tratamiento del consentimiento del titular de los datos. A esta cuestión se refirió don Lorenzo Prats Albentosa (Catedrático de Derecho Civil. Universidad Autónoma de Barcelona).

La Carta de los Derechos Fundamentales de la Unión Europea reconoce que ” Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan” (Art. 8). Y lo hace diferenciándolo del derecho fundamental al respecto de la vida privada y familiar (Art. 7), dándole un tratamiento autónomo.

Los datos personales, como objeto de este derecho fundamental, son concebidos como bienes patrimoniales de la persona. Pero, en tanto que son el bien en el que el derecho se materializa (se “cosifica”), la Carta delimita la facultad de disponer de la persona y establece bajo qué actos puede realizar y bajo qué presupuestos ha de realizarlos y, en todo caso, subraya la revocabilidad del acto de disposición por su titular. Así, se dispone en la Carta que ” Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento expreso de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley” y, a continuación se dice “Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.”

El RGPD desarrolla este derecho fundamental europeo y regula, sobre la base del consentimiento expreso del titular de los datos, todo acto de cesión a terceros para su tratamiento. De modo que todo acto de tratamiento sin previo consentimiento lesiona el derecho fundamental (es ilícito, Art. 6), salvo que se encuentre dentro de aquellos casos en los que, excepcional y restrictivamente, el Reglamento admite un tratamiento de datos sin previo consentimiento. No obstante, al responsable del tratamiento se le impone la carga de demostrar la licitud del mismo (art.7) y, en su caso, las consecuencias de la ilicitud. A este efecto, dice el Art. 8 de la Carta “. El respeto de estas normas quedará sujeto al control de una autoridad independiente.” Pero, además, el titular del dato siempre podrá obtener la reparación que proceda como consecuencia del daño padecido por su tratamiento ilícito”.

 ¿Están los datos de solvencia patrimonial necesariamente sujetos al régimen del consentimiento del afectado? A esta relevante cuestión se refirió don Pablo Pascual (Director de la Asesoría Jurídica de Experian España). A su juicio, “el cambio que implica el RGPD no estriba tanto en el contenido material de las normas, pues se mantienen con matices los principios generales de protección de datos que ya conocíamos, sino en el espíritu que anima este contenido y subyace tras la aprobación del Reglamento. La novedad está en el principio de “responsabilidad proactiva” (traducción libre del término inglés “accountability”) que lleva la exigencia en todos los niveles de la organización de los responsables del tratamiento, de un cumplimiento mucho más riguroso de las normas de protección de datos, para lo que se establecen figuras, procedimientos, controles y garantías adicionales. Pero al mismo tiempo el Reglamento es una norma enormemente genérica, que se mueve en el nivel de los principios, y que no desciende normalmente al nivel de las reglas concretas. Esto supone un claro deterioro de la seguridad jurídica, sobre todo en el contexto del estilo de supervisión que se ha realizado tradicionalmente en España.

El Reglamento no contiene referencia alguna, directa o indirecta, a los servicios de información sobre solvencia patrimonial y crédito (ficheros de solvencia), por lo que, salvo que el legislador español lo remedie, se produciría la circunstancia de que este sector tan importante de tratamiento automatizado de datos carecería por primera vez de regulación específica de detalle. En todo caso, se puede afirmar ya que, en lo que respecta al aspecto más importante de la protección de datos, el suministro de información crediticia, tanto de carácter positivo como negativo, encaja perfectamente en el concepto de interés legítimo del art. 6.f) del Reglamento, ya que se trata de un tratamiento de datos necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, que con las garantías adecuadas respeta los intereses o los derechos y libertades fundamentales del interesado”.

Un tratamiento general para todo tipo de datos es lo que brinda el RGPD, sin que se atienda a la naturaleza específica de los mismos, a diferencia del modelo anglosajón que establece un régimen ad hoc en función de los datos de que se trate. Lo que nos quedó claro en la jornada es que son muchos cambios que se avecinan y una tarea compleja de adaptación del Derecho nacional, que ya veremos qué consecuencias tiene en la práctica.

Desde la Fundación Hay Derecho agradecemos a los ponentes su participación en este acto, a los asistentes su presencia y al Colegio de Abogados de Madrid, la generosidad de cedernos su magnífica sede para celebrar el acto.

¿Tiene obligación nuestro banco de darnos nuestro historial crediticio para que nos podamos cambiar de entidad? A propósito de la Ley de Fomento de la financiación empresarial

Ya he hablado en este blog (aquí y aquí) y también lo hizo aquí Fredes Montes de la importancia de que el mercado de crédito opere de forma transparente y de que la información financiera de los particulares debe fluir para que los prestamistas evalúen correctamente la solvencia de los particulares y concedan los préstamos de manera responsable. Al fin y al cabo, los bancos prestan el dinero de nuestros depósitos y todos estamos muy interesados en que el dinero se preste a personas que lo pueden devolver. Si no se hace, ya sabemos lo que pasa: lo acabamos pagando todos los ciudadanos con nuestros impuestos al rescatar el Estado al sistema financiero.

Pero para que los bancos presten bien necesitan datos fiables sobre la situación financiera de los solicitantes de crédito. Es obvio decir que éstos saben mejor que el prestamista cuál es su situación financiera y por eso se dice que el mercado de crédito opera con información asimétrica.

Si no hay un buen sistema de información crediticia que provea a los prestamistas de datos de los solicitantes, les será difícil distinguir entre buenos y malos pagadores (selección adversa). ¿Y entonces qué pasa? Pues o bien se deniega el préstamo a personas que lo merecen o se le concede a todos aumentando el coste crediticio para todos, pagando los buenos pagadores el riesgo de incumplimiento de los malos. Ello desincentiva a los clientes de menor riesgo a recurrir al crédito y favorece que accedan los que presentan mayor riesgo, pues son éstos los que están dispuestos a pagar tipos de interés altos[1]. Estudios empíricos avalan este efecto.

Que pase esto no es bueno para la economía porque obstaculiza el acceso al crédito a consumidores y empresarios. Que no se abran empresas por falta de financiación o que las empresas no vendan porque no hay consumidores que compren es algo que cualquiera puede entender que no ayuda mucho al crecimiento económico.

Por eso es tan importante que los prestamistas compartan información de sus clientes. No sólo negativa (impagos), sino también positiva (préstamos asumidos y grado de cumplimiento de los mismos). Como gráficamente se ha dicho, “un deudor con seis tarjetas de crédito activas que no ha incumplido ninguna de sus obligaciones, puede ser un cliente de mayor riesgo que otro con menos préstamos asumidos que de forma esporádica llevó a cabo un incumplimiento[2]. Pero aquí los bancos no quieren saber nada de compartir información positiva porque no tienen ningún interés en que los competidores sepan la situación de solvencia de sus buenos clientes.

Hoy las entidades no comparten datos positivos con los bureau privados (empresas con la tecnología adecuada para procesarlos) poniendo como excusa la protección de nuestra privacidad y ninguna norma les obliga a compartirlos (a diferencia de lo que sucede en otros países). De esta forma se aseguran que los competidores no se puedan percatar de quiénes son los buenos clientes y hacerles mejores ofertas de crédito. Este riesgo de aumento de competencia no lo tienen con los datos negativos que los prestamistas comparten libremente a los “ficheros de morosos”. Aquí no hay riesgo porque ninguna entidad querrá deudores con datos negativos de solvencia. El problema es de competencia, no de privacidad.

En España para que haya menos competencia entre entidades financieras hay fallos en el sistema de información crediticia y eso es un obstáculo al préstamo responsable y a la estabilidad del sistema financiero. Y los clientes pagamos un precio muy alto en términos de tipos de interés y los empresarios tienen dificultades para obtener un préstamo.

¿Qué ha hecho al respecto la LFFE?

El principal mérito de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial (en adelante LFFE) es que parece que el legislador español se ha dado cuenta de esto. Se dice en la Exposición de Motivos que el objetivo de esta regulación contenida en el Titulo I es “atajar, al menos parcialmente, el problema de asimetría informativa que dificulta y encarece el acceso de las PYME a la financiación”.

Aunque los perversos efectos que genera la información asimétrica no se producen solo respecto de las pymes, la regulación va dirigida a ellas incluyendo a los trabajadores autónomos y no a los consumidores en general. El aparente avance de la regulación es injustificadamente restringido. A mi juicio, las mismas medidas deben establecerse para toda persona física realice o no actividad empresarial.

¿Cuál es la principal novedad? Obligar al banco a que le dé al cliente sus propios datos……

En primer lugar, se establece la obligación de las entidades de crédito de notificar a las pymes, por escrito y con antelación suficiente, su decisión de cancelar o reducir en una cuantía igual o superior al 35% el flujo de financiación que les haya venido concediendo.

Cuando tal notificación se ha llevado a cabo, dentro de los 10 días hábiles siguientes “la entidad de crédito proporcionará gratuitamente a la pyme un documento denominado «Información Financiera-PYME» basado en toda la información que hubiere recabado de ella en relación con su flujo de financiación. Es decir, se obliga a la entidad financiera a entregar al deudor su propio historial crediticio (con datos positivos y negativos) de los últimos 5 años, tasándose el contenido de la información que debe constar en tal documento.

Así mismo, la entidad deberá proporcionar una calificación crediticia. Este último aspecto es relevante, porque la calificación crediticia sí es un dato propiedad del banco generado con su propia tecnología para medir el score crediticio que debe realizarse según los parámetros establecidos en la norma 8 de la Circular 6/2016, de 30 de junio, del Banco de España que desarrolla la LFFE.

En resumidas cuentas el deudor se va de la entidad con su historial y calificación crediticia con el objeto de que pueda iniciar la búsqueda de fuentes alternativas de financiación con mayor facilidad, haciendo el uso que mejor corresponda de su información financiera.

Visto desde fuera, la reforma solo puede merecer una valoración positiva, pero ¿dónde puede estar la trampa?

En los sistemas de información crediticia, las entidades comparten información con Registros públicos[3] de manera obligatoria o con los credit bureau operados por entidades privadas de manera voluntaria. En España, las entidades financieras sólo pueden compartir información con el consentimiento del particular en aras de proteger su privacidad. Es el criterio de interpretación del art. 29 Ley Orgánica de Protección de Datos Personales (en adelante, LOPD) mantenido por la Agencia de Protección de Datos y por nuestro Tribunal Supremo. No sucede lo mismo con los datos negativos que se comparten sin consentimiento del afectado.

Ese consentimiento se justifica porque los datos financieros de una persona física son suyos. Si el consentimiento del titular limita la posibilidad de que los datos se transfieran a bureaus privados y la protección de la privacidad implica que este consentimiento pueda ser incluso revocado, no se entiende por qué una ley tiene que obligar a una entidad financiera a entregarle al cliente datos personales que son del propio cliente y no del banco. De hecho, las personas físicas ya tienen un derecho de acceso a sus propios datos, regulado en el art. 15 de la LOPD: “El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos”. La novedad que aporta la LFFE realmente afecta a las personas jurídicas.

No es admisible que la protección de la privacidad y el consentimiento del cliente constituyan un obstáculo para un eficiente sistema de información crediticia y luego sea la ley la que tenga que autorizar al banco para que le dé al cliente datos que son suyos. Si los datos son del cliente, parece lógica la necesidad de consentimiento para que se compartan, pero entonces no está justificado el que la ley obligue al banco para que le dé al cliente sus propios datos. En este sentido, la LFFE es redundante cuando se refiere a personas físicas porque ese derecho de acceso ya lo tienen por la LOPD. Sí es una novedad la obligación de la entidad de proporcionarle una calificación crediticia.

Esta regulación podría hacer pensar que sólo cuando la ley lo autoriza, la entidad debe proporcionarle al cliente los datos y como sólo lo hace para pymes y autónomos, no debe hacerlo para el consumidor. De hecho, esta es la respuesta que he recibido de una importante entidad financiera cuando les he pedido mi historial crediticio!!!. Si no hay rectificación, me temo que habrá denuncia ante la Agencia de Protección de Datos porque el art. 15 de la LOPD concede a las personas físicas un derecho de acceso a sus datos personales que no puede vulnerarse por una interpretación a contrario sensu de la LFFE. Debe quedar claro, por tanto, que los consumidores pueden pedir a la entidad su historial crediticio positivo aunque no se refiera a ellos la LFFE.

Como he dicho, lo bueno de esta reforma es que el legislador se ha dado cuenta de la importancia de la información financiera positiva. Pero el avance es escaso porque se limita a dar al cliente datos que son suyos cuando se trata de persona física empresaria. Si de verdad se quiere avanzar en el ámbito del préstamo responsable y en la mejora del funcionamiento del mercado de crédito, la ley debería obligar a las entidades financieras a compartir los datos positivos de sus clientes a los bureaus privados, al igual que ya lo hace para la CIRBE. Basta una regulación específica de los bureaus privados y la creación de una autoridad pública reguladora que garantice la privacidad de los ciudadanos, como ya sucede en otros países.

La información financiera positiva debe fluir con adecuados mecanismos de control si queremos prevenir futuras crisis financieras (que degeneran en crisis políticas). De lo contrario, los bancos cuando quieran evaluar nuestra solvencia preferirán pedirnos los movimientos de nuestra cuenta corriente, tal y como expliqué aquí y esa sí que es una información sensible pues verán cuáles son nuestros hábitos de consumo. Así el banco podrá ofrecernos otros productos. En fin, nada sucede por casualidad. Todo tiene un por qué y desde luego nada tiene que ver con la privacidad.

[1] STIGLITZ, J. y WEISS, A. (1981) “Credit rationing in markets with imperfect information”, American Economic Review, vol. 71, núm. 3, junio, p. 393-410.

[2] Declaraciones de Tom Quinn (vicepresidente de Fair Issacc) en articulo publicado por Paul Davis en el periodico Financial Times (UK) el 24 de Agosto de 2005.

[3] Es el caso de la Central de Información de Riesgos del Banco de España (CIRBE).