La AEPD no aprueba el proyecto de código de conducta del sector infomediario promovido por ASEDIE

2021-04-20T16:09:00

A finales del pasado mes de marzo, la Agencia Española de Protección de Datos (AEPD) emitió un informe desfavorable sobre la aprobación del proyecto de Código de Conducta del sector infomediario,propuesto por la Asociación Multisectorial de la Información (ASEDIE). Tras examinar su contenido, la AEPD consideró que, en su conjunto, este no se ajusta a los principios y normas del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

La AEPD no aprueba el proyecto de código de conducta del sector infomediario promovido por ASEDIE
20 de abril de 2021

A finales del pasado mes de marzo, la Agencia Española de Protección de Datos (AEPD) emitió un informe desfavorable sobre la aprobación del proyecto de Código de Conducta del sector infomediario, propuesto por la Asociación Multisectorial de la Información (ASEDIE). Tras examinar su contenido, la AEPD consideró que, en su conjunto, este no se ajusta a los principios y normas del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD).

El informe de la AEPD recuerda en primer lugar el papel fundamental que desempeñan los códigos de conducta, tanto por su vinculación con el principio de responsabilidad proactiva como por constituir un medio para acreditar el cumplimiento de la normativa de protección de datos. Señala la AEPD que, por tales motivos, se hace necesaria la revisión de todos los códigos conforme a lo dispuesto en las Directrices del Comité Europeo de Protección de Datos 1/2019 sobre códigos de conducta y organismos de supervisión con arreglo al Reglamento 2016/679. De este modo, de la interpretación conjunta de las referidas Directrices y los artículos 40 y 41 del RGPD, se concluye que los códigos de conducta -a excepción de aquellos promovidos por autoridades y organismos públicos- requieren la supervisión de un organismo acreditado por la autoridad de control.

Así, en septiembre de 2020 el proyecto del Código fue objeto de un informe de la Subdirección General del Registro General de Protección de Datos, sobre el que la AEPD emite ahora el informe que aquí comentamos. El informe se centra principalmente en los tratamientos sobre los que la AEPD muestra su disconformidad:

  • Sistemas de información crediticia con datos relativos al cumplimiento de obligaciones dinerarias, financieras o de crédito (ficheros de solvencia positivos).
  • Ficheros de solvencia positivos versus ficheros negativos. En primer lugar, la AEPD distingue el tratamiento de datos personales referidos a la mera existencia o al cumplimiento de obligaciones dinerarias (ficheros de solvencia positivos) de los referidos a incumplimientos (ficheros negativos). Al efecto, señala que para el tratamiento de los primeros -a falta de regulación legal, y dada su mayor incidencia en los derechos e intereses de los interesados- es preciso el consentimiento de los afectados, que el Código obvia; mientras que solo para el tratamiento de los segundos, el legislador sí ha establecido una presunción “iuris tantum” del interés legítimo del responsable, sobre el que además ha introducido mayores garantías. Sentado lo anterior, el informe analiza si el tratamiento de ficheros positivos puede ampararse en la prevalencia del interés legítimo del responsable con base en el artículo 6.1.f) del RGPD, como propone el Código.
  • El interés legítimo del responsable o de terceros: entendido en el Código como la necesidad de las entidades concedentes de crédito de conocer los datos de cumplimiento de obligaciones dinerarias, financieras o de crédito para la reducción del riesgo asociado a las decisiones de crédito, así como el interés “general social consistente en la estabilidad y fortaleza del sistema financiero en su conjunto, que es esencial en una economía moderna”. La AEPD considera que no es posible aplicar este interés legítimo, porque este tratamiento supone una mayor incidencia en los derechos e intereses de los afectados y no concurre un interés para el fortalecimiento del sistema financiero con el que el Código pretende reforzar la ponderación del interés legítimo. Señala la AEPD que, para que existiera además un interés público, sería imprescindible que el legislador se hubiera pronunciado al respecto de manera expresa, cosa que no ha ocurrido.
  • Los intereses, derechos y libertados fundamentales de los afectados. La AEPD entiende que el Código los trata de modo muy somero y restrictivo, por cuanto no entra siquiera a valorar la posibilidad de que los datos sean erróneos o no estén actualizados, ni atiende las consecuencias negativas, reales o potenciales del tratamiento de estos datos (por ejemplo, como sucede en las “listas negras”, discriminatorios o de limitación de acceso). La AEPD concluye indicando que el Código debería haber valorado otras circunstancias adicionales y que, sobre aquellas pocas que valora, no comparte las conclusiones a las que llega, resultando que la afectación a los intereses de los afectados puede resultar muy intensa.
  • Las garantías aportadas. La AEPD entiende que al no haberse valorado adecuadamente la incidencia en los intereses, derechos y libertades de los afectados, tampoco se han podido identificar con precisión las garantías adecuadas tendentes a minimizar estas consecuencias. No se ha aportado un análisis de riesgos potenciales derivados de los tratamientos ni una evaluación de impacto, sino solo un análisis en abstracto que tan solo establece unas garantías excesivamente genéricas que no permiten considerar mitigados los efectos para los afectados ni resultan apropiados o suficientes. Uno de los principales riesgos es el relativo a la exactitud y actualización de los datos, difícilmente mitigable mediante un sistema basado en la voluntariedad y en la reciprocidad. Finalmente, el Código no incluye un análisis detallado del derecho de oposición, pese a cubrir tratamientos en que se realizan perfiles para conocer mejor a los clientes y adecuar los productos a sus circunstancias personales.
  • Información sobre solvencia patrimonial con datos obtenidos de fuentes públicas o que el interesado haya hecho manifiestamente públicos.

    La AEPD recalca que el Código comete un error sustancial al considerar prevalente el interés legítimo del responsable por el mero hecho de que los datos figuren en fuentes públicas o hayan sido hechos manifiestamente públicos por el interesado. Indica, además, que el Código no identifica qué datos pueden ser objeto de tratamiento y recoge un concepto muy amplio de fuentes públicas, sin atender a la finalidad para la que los datos se incluyeron en las mismas.

    La AEPD subraya que no existe actualmente un concepto legal de fuente de acceso público y que la circunstancia de que los datos obren en fuentes públicas puede entenderse como uno de los elementos a valorar al realizar la correspondiente ponderación de derechos e intereses, pero en ningún caso exime del cumplimiento del resto de principios de limitación de la finalidad, de minimización, o de uso más allá del tiempo necesario para cumplir con su primigenia finalidad.

    El informe analiza con especial detalle el respeto al uso de los datos disponibles en fuentes públicas en atención al principio de limitación de la finalidad que se recoge en el artículo 5 del RGPD. De este modo, señala que el uso de los datos publicados solo estaría legitimado para fines distintos de los que motivaron su publicación si media consentimiento del interesado o si así lo señala el Derecho de la Unión o de los Estados miembros, y siempre que se trate de fines compatibles y se determinen criterios para apreciar dicha compatibilidad. Para el caso planteado, la AEPD considera que no concurre esa compatibilidad que justifique el tratamiento ulterior para fines de evaluación de la solvencia y por ello este constituye una injerencia en el derecho fundamental a la protección de datos personales.

    Concluye así el informe que la citada incompatibilidad de fines determina la ilicitud del tratamiento de los datos personales publicados con fines de evaluación de la solvencia.

En el siguiente cuadro indicamos a modo de resumen las conclusiones a las que llega la AEPD:

Por todo lo expuesto, junto con otros aspectos menos relevantes que tampoco considera adecuados, la AEPD estima que el Código no puede aprobarse porque su contenido no se adecúa a lo dispuesto en el RGPD o en la LOPDGDD.

Autoras: Adaya Esteban y Paula Conde

20 de abril de 2021