La Agencia Española de Protección de Datos ha impuesto una multa de 50.000 euros a una mercantil por incluir datos de una persona en sus sistemas comunes de información crediticia en relación con una deuda asociada a un contrato que no realizó.
La sociedad sancionada había interpuesto previamente una demanda, contra la parte ahora reclamante, que un Juzgado de Primera Instancia desestimó íntegramente en sentencia dictada el 29 de noviembre de 2021, absolviendo a la ahora reclamante de todas las pretensiones.
La afectada interpuso el 4 de Abril de 2022 una reclamación ante la Agencia Española de Protección de Datos alegando falta de legitimación en el tratamiento. Junto a la reclamación, presentó diversos documentos, concretamente, la sentencia desestimatoria dictada por el Juzgado de Primera Instancia, diligencia de ordenación del Juicio Verbal de 14 de enero de 2022 en cuyo acuerdo se declaró la firmeza de dicha resolución, y un informe de ASNEF que determinaba que se le había dado de alta en el sistema de información crediticia el 28 de junio de 2019.
Posteriormente, cumpliendo con el artículo 65.2 LOPDGDD, se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase la Agencia de las acciones llevadas a cabo para adecuarse a la normativa de protección de datos, otorgándosele un mes de plazo. Sin embargo, no hubo respuesta por parte de la empresa de energética.
El 17 de enero de 2023, la AEPD acordó iniciar procedimiento sancionador a la parte reclamada, por la presunta infracción del Artículo 6.1 del RGPD, tipificada en el artículo 83.5 del RGPD.
En vista de la documentación aportada por la parte reclamante, entiende la Autoridad de Control que, efectivamente, la reclamada infringió el artículo 6.1 del RGPD por ser su conducta “contraria al principio de licitud que reconoce el artículo 5 del RGPD y 6 de la LOPDGDD, al haber consistido en comunicar a un sistema de información crediticia (el fichero ASNEF) una deuda que, respecto al supuesto deudor, el reclamante, no era cierta, ni vencida ni exigible, como requiere el artículo 20.1 de la LOPDGDD para que sea de aplicación la presunción «iuris tantum» de prevalencia del interés legítimo del responsable, sin acreditar la existencia de tal interés legítimo ni la ponderación legalmente exigible”.
Finalmente, la AEPD, en la resolución del procedimiento sancionador PS-00586-2022, entiende que el balance de las circunstancias contempladas en el artículo 83.2 del RGPD, con respecto a la infracción cometida al vulnerar lo establecido en su artículo 6.1 del RGPD permite imponer una sanción de 50.000 euros.
En este sentido, alude a la sentencia de la Audiencia Nacional de 17/10/2007 (rec. 63/2006), en la que, respecto de entidades cuya actividad lleva aparejado en continuo tratamiento de datos de clientes, indica que «… El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto».
En definitiva, aquellas empresas privadas que no respeten el principio de licitud en el tratamiento de datos, así como con el requisito impuesto en el artículo 20.1 LOPDGDD en relación a la obligatoriedad de que una deuda sea cierta, vencida y exigible para poder proceder a su inclusión en un fichero de morosos; deben saber que es probable que la AEPD les sancione, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación de empresas privadas a la normativa de protección de datos.