Todos alguna vez hemos oído hablar de los famosos ficheros de morosos y las repercusiones que tienen para las personas inscritas en ellos. Pero ¿sabemos cómo funcionan desde la visión de la normativa de protección de datos? A lo largo de este post se van a ir desarrollando las implicaciones legales en materia de protección de datos que rodean este tipo de tratamiento de datos personales.

Mediante los ficheros de morosos se realiza un tratamiento de datos personales por personas distintas a los titulares de los mismos, no siendo necesario el consentimiento del titular para su inclusión.

Por tanto, resulta crucial el cumplimiento de los principios de minimización, exactitud, el deber de información y el deber de secreto y confidencialidad de la información recogidos en el Reglamento General de Protección de Datos (RGPD).

En el RGPD no encontraremos mención específica a los ficheros de morosos, pero la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) sí que recoge en su artículo 20 el tratamiento de datos personales que se realiza a través de estos ficheros bajo el nombre de “sistemas de información crediticia”, referido al incumplimiento de obligaciones dinerarias, crediticias y financieras.

¿Cuándo son legales los ficheros de morosos?

La LOPDGDD considera que el tratamiento de datos personales incluidos en los ficheros de morosos será legal siempre y cuando se cumplan una serie de requisitos:

  1. Debe existir, previamente a su inclusión, una deuda cierta, vencible, exigible y que haya resultado impagada;
  2. La existencia o cuantía de la deuda no puede haber sido objeto de reclamación por el deudor bien por la vía administrativa o judicial o bien mediante un procedimiento alternativo de resolución de conflictos;
  3. Los datos deben ser facilitados por el acreedor o por quien actúe por cuenta o interés de éste;
  4. El acreedor debe haber informado al deudor de la posibilidad de la inclusión de sus datos en este tipo de ficheros en el requerimiento previo de pago.

Además, sólo podrán incluirse en los ficheros de morosos los datos personales del deudor que sean estrictamente necesarios para valorar la solvencia económica del mismo.

Obligaciones del responsable del fichero y del acreedor o persona que actúe por cuenta o interés de éste 

Las obligaciones que recaen sobre el responsable del fichero y el acreedor o persona que actúe por cuenta o interés de éste variarán dependiendo de la fase del tratamiento de los datos personales en que nos encontremos:

  1. En la fase previa a la inclusión de los datos personales:
  • El responsable del fichero de morosos será quien deberá de realizar el control de cumplimiento de los requisitos;
  • El acreedor o persona que actué por cuenta o interés de éste debe informar al deudor que en caso de no abonar la deuda en el período acordado y cumplidos los requisitos señalados anteriormente, los datos personales del deudor relacionados con el impago de la deuda podrán ser incluidos en un fichero de morosos. Esta información podrá ser transmitida en el contrato entre las partes y en todo caso en el requerimiento previo al deudor.
  1. En la fase posterior a la inclusión de los datos personales:
  • El responsable del fichero de morosos deberá informar al deudor de la inclusión de sus datos personales en el fichero y de la posibilidad de ejercer los derechos de acceso, rectificación, limitación, oposición, portabilidad y cancelación. Las consecuencias de no cumplir con esta obligación y la inclusión de los datos personales en el fichero podría derivar en un tratamiento ilícito por parte del responsable del fichero.
  1. En la fase posterior a la inclusión de los datos personales:
  • El responsable del fichero de morosos deberá de atender las solicitudes de ejercicio de los derechos de acceso, rectificación, limitación, oposición, portabilidad y cancelación. Cabe resaltar que cuando se trate del ejercicio del derecho de acceso, el responsable del fichero deberá de informar sobre los datos recogidos, evaluaciones y apreciaciones que hayan sido comunicadas y el nombre y dirección de la persona o entidad a quien se haya revelado los datos.

En el transcurso de ambas fases, recae la obligación sobre el acreedor que ha solicitado la inclusión de los datos en los ficheros de conservar todas las pruebas que demuestren el cumplimiento de los requisitos mencionados.

Tanto el responsable del fichero de morosos como la Agencia Española de Protección de Datos (en adelante, “AEPD”) podrá solicitar estas pruebas al acreedor en cualquier momento.

Plazo de conservación y cancelación

La LOPDGDD ha disminuido el plazo de conservación de los datos personales de los deudores en este tipo de ficheros, siendo éste de 5 años.

La cancelación de los datos se hará efectiva inmediatamente en el momento en el que se realice el pago de la deuda.

En el supuesto de no realizarse el pago durante los 5 años siguientes a partir del vencimiento o del plazo concreto de la deuda deberá, en todo caso, realizarse la cancelación de los datos.

¿El acceso a los datos personales incluidos en los ficheros de morosos es público?

La LOPDGDD permite que terceros puedan consultar estos datos personales cuando necesiten valorar la solvencia económica de los titulares de los datos personales, bajo las siguientes exigencias:

  1. Que exista algún tipo de relación contractual aún no vencida entre el titular de los datos personales y el tercero;
  2. Que el titular de los datos personales y el tercero pretendan celebrar un contrato que implique un pago aplazado del precio;
  3. Que el titular de los datos personales trate de contratar con el tercero una prestación de servicios que implique una facturación periódica.

Cuando el tercero decida finalmente no contratar con el titular de los datos personales incluidos en el fichero de morosos, recaerá sobre él la obligación de informar al titular de los datos personales el resultado de la consulta realizada.

Responsabilidad 

La relación existente entre el responsable del fichero de morosos y el acreedor o la persona que actúe por cuenta o interés del mismo será de corresponsable del tratamiento. Esta relación atribuye a ambas partes las responsabilidades que recaen sobre los responsables del tratamiento según el RGPD y la LOPDGDD.

Cabe recordar que tanto el acreedor como la persona que actúe por cuenta o interés de éste serán los responsables de garantizar la exactitud y veracidad de los datos comunicados al responsable del fichero de morosidad.

En conclusión, la normativa de protección de datos no prohíbe el tratamiento de datos personales realizado por los responsables de los ficheros a través de una cesión de datos, siempre y cuando la finalidad de la cesión esté íntimamente relacionada con la valoración de la solvencia económica de los implicados y se cumpla con los requisitos y peculiaridades recogidas.

Si has sido incluido en algún fichero de morosos pero no sabes en cuál, puedes acceder al siguiente enlace de la AEPD.