La AEPD obliga a Equifax a eliminar el fichero de morosos que crea a partir de boletines oficiales

La Agencia Española de Protección de Datos (AEPD) ha multado a Equifax con un millón de euros y le ha obligado a eliminar su Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ), un fichero de morosos creado a partir de diarios oficiales y que recoge presuntas deudas de usuarios con la Administración pública.

La investigación de la Agencia parte de hasta 97 reclamaciones de usuarios por la inclusión de sus datos personales sin su consentimiento, la imposibilidad de contratar préstamos o créditos por estar en este fichero de morosos o que dicho fichero refleja "deudas inexistentes", entre otras.

La información contenida en el FIJ se nutre principalmente del Tablón Edictal Único del BOE (TEU-BOE), de los diarios oficiales de las comunidades autónomas, de los Boletines Provinciales (BOP) y a través de la sede electrónica o física de organismos de Derecho Público.

En su resolución, de 184 páginas, la AEPD constata que Equifax habría vulnerado varios preceptos del Reglamento General de Protección de Datos (RGPD) al no poder asegurar que la deuda fuera cierta -la Agencia señala que algunos de los reclamantes ya habían liquidado la deuda y seguían en el FIJ-, no poder notificar a los usuarios que se les había incluido en él y realizar un tratamiento de los datos personales con un fin distinto a aquel por el que los datos fueron tratados por los diarios oficiales, entre otros.

La AEPD señala que si no se puede hacer un tratamiento de los datos personales con las debidas garantías no debe hacerse.

Así, Protección de Datos impone a Equifax la prohibición de "que continúe el tratamiento de los datos personales que realiza a través" del FIJ y que suprima "todos los datos personales que son objeto de tratamiento a través del FIJ asociados a presuntas deudas y que fueron obtenidos por la reclamada de la publicación de anuncios de notificación insertados" en el BOE y las distintas publicaciones oficiales. De igual forma, también multa a la empresa con un millón de euros.

Equifax, por tanto, deberá cesar en la publicación de este fichero, y ya no podrá recoger datos personales de usuarios que aparezcan en los diarios oficiales.

Ilicitud del tratamiento

En primer lugar, Protección de Datos señala como una de las infracciones cometidas por Equifax la vulneración del principio de limitación de finalidad del tratamiento. El artículo 5.1.b del RGPD establece que los datos personales serán "recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines", mientras que el artículo 50 indica que "el tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial".

"No hay ninguna relación entre la finalidad del tratamiento efectuado a través de las publicaciones en boletines y diarios oficiales que incluyen datos personales de los afectados -el interés público conectado con el derecho a la tutela judicial efectiva de los administrados y el ejercicio efectivo por las Administraciones Públicas de las potestades que tienen atribuidas- y el fin para el que Equifax trata los datos, que ella ha concretado en la evaluación de la solvencia y en la prevención del fraude", afirma la AEPD.

Por otra parte, la Agencia desmonta el argumento de Equifax de que el tratamiento de datos personales en el FIJ persigue un "interés legítimo" -principio obligatorio para sea lícito-. "La ilicitud del interés perseguido por Equifax se ve reforzada por el hecho de que el tratamiento de datos que lleva a cabo el FIJ no sólo vulnera el principio de limitación de la finalidad sino que [...] incumple otros preceptos legales", señala la AEPD.

Inexactitud de la información

Uno de esos preceptos que Equifax estaría incumpliendo sería el principio de exactitud, recogido en el artículo 5.1.d del RGPD, que establece que los datos objeto de tratamiento serán "exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan".

En este sentido, Protección de Datos indica que la información de los diarios oficiales que recoge Equifax para incluirla en el FIJ es "fragmentaria", y que la empresa "carece por completo de medios" para garantizar que los datos están actualizados y garantizar así que se trata de deudas ciertas.

"Una prueba de que el FIJ no puede garantizar la exactitud de la información que ofrece", continúa la Agencia, "es que más del 25% de los reclamantes, antes de acudir a la AEPD, ya habían aportado a Equifax documentos que demostraban que en el FIJ se estaba publicando información inexacta asociada a sus datos. En el fichero se estaban vinculando a sus datos personales deudas extinguidas".

De igual forma, el organismo advierte de que Equifax incumple igualmente la obligación de información a los usuarios de que se está realizando un tratamiento de sus datos personales cuando no han sido recogidos de ellos, establecida en el artículo 14 del RGPD. "Basta para ello comparar las cifras proporcionadas: en 2018 las personas cuyos datos eran objeto de tratamiento por el FIJ superaban los cuatro millones y, sin embargo, el número de notificaciones efectuadas ese año no llega a trescientas cuarenta mil", afirma la AEPD.