Central de riesgos, solvencia y protección de datos

Según hace referencia el propio Banco de España, la Central de Información de Riesgos recoge el historial crediticio de las personas físicas y jurídicas para facilitar a las entidades el análisis de sus riesgos de crédito.

Con carácter general, las entidades declarantes (entidades de crédito y otras) tienen la obligación de informar sobre los riesgos directos con residentes por importe igual o superior a 6.000 euros en el conjunto de negocios en España o a 60.000 euros en cualquier otro país. Para los no residentes, la obligación de declarar es a partir de 300.000 euros.

El propio artículo 59 de la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero la define como “un servicio público que tiene por finalidad recabar de las entidades declarantes a que se refiere el apartado primero del artículo siguiente, datos e informaciones sobre los riesgos de crédito, para facilitar a las entidades declarantes datos necesarios para el ejercicio de su actividad; permitir a las autoridades competentes para la supervisión prudencial de dichas entidades el adecuado ejercicio de sus competencias de supervisión e inspección; contribuir al correcto desarrollo de las restantes funciones que el Banco de España tiene legalmente atribuidas”.

Los datos declarados permiten al Banco de España conocer los créditos totales concedidos, lo que facilita el ejercicio de sus competencias de supervisión bancaria.

Por su parte, las entidades que declaran sus riesgos a la Central de Información de Riesgos del Banco de España reciben mensualmente información agregada del riesgo contraído por las personas físicas y jurídicas para las que han hecho una declaración (los llamados titulares).

El artículo 60 de la citada Ley establece que la entidades declarantes deberán facilitar “los datos necesarios para identificar a las personas con quienes se mantengan, directa o indirectamente, riesgos de crédito, así como las características de dichas personas y riesgos, incluyendo, en particular, las que afecten al importe y la recuperabilidad de éstos. Esta obligación se extenderá a los riesgos mantenidos a través de entidades instrumentales integradas en los grupos consolidables de las entidades declarantes, y a aquellos que hayan sido cedidos a terceros conservando la entidad su administración.

Entre los datos a los que se refiere el párrafo anterior se incluirán aquellos que reflejen una situación de incumplimiento, por la contraparte, de sus obligaciones frente a la entidad declarante, así como los que pongan de manifiesto una situación en la cual la entidad estuviera obligada a dotar una provisión específica en cobertura de riesgo de crédito, según lo previsto en las normas de contabilidad que le sean de aplicación.

Los datos referentes a las personas mencionadas en el presente apartado no incluirán, en ningún caso, los regulados en el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Cabe recordar que el artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de crácter personal se refiere a los datos especialmente protegidos “1. De acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo. 2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado. 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 4. Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. 5. Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento”.

Mediante el Decreto Ley 18/1962, se crea el fichero “Central de Información de Riesgos” cuyo artículo 16 se prevé: “El Banco de España  establecer á un Servicio Central de información de Riesgos en relación con las operaciones de crédito de la Banca, Cajas de ahorro y demás entidades de crédito”.

La Norma Segunda de la Circular 3/1995, de 25/09, modificada por la Circular 3/2002, de 25/06, del Banco de España obliga a las entidades bancarias a informar mensualmente al Servicio Central de Información de Riesgos del Banco de España de los riesgos contraídos y de sus titulares, considerando como riesgos declarables los denominados indirectos, esto es, los contraídos por la entidad con quienes garantizan o avalan operaciones de riesgos indirectos tales como avales, afianzamiento y garantías personales

La Circular 3/1995, de 25/09, establece en su norma novena: “1. Cualquier titular podrá solicitar la información que contiene la Central de Información de Riesgos sobre él…2. Si el titular observara alguna inexactitud en los datos detallados que le hubiera facilitado la CIR, deberá dirigirse a las entidades declarantes solicitando su rectificación… La CIR suspenderá la cesión a terceros de datos sobre los que exista duda fundada sobre su exactitud. 3. Lo dispuesto en los apartados precedentes se entiende sin perjuicio de los derechos de acceso, rectificación y cancelación que amparan a la s personas físicas, según lo dispuesto en la Ley 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal”, actualmente Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal”.

El artículo 64 de Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, referido a “Conservación de los datos”, establece que “los datos registrados en la CIR se conservarán durante diez años contados desde la fecha a la que se refieran, cancelándose una vez transcurrido dicho plazo. No obstante, podrán conservarse indefinidamente mediante procedimientos que no permitan la identificación del afectado, atendiendo a sus valores históricos, estadísticos o científicos. También podrán conservarse indefinidamente los datos que identifiquen a las personas jurídicas para permitir el ejercicio de las finalidades contempladas en los guiones segundo y tercero del apartado primero del artículo 59 de la presente Ley (…). Conforme a lo previsto en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el Banco de España adoptará las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos registrados en la CIR y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural”.

En relación a la seguridad de los datos el artículo 9 de la Ley Orgánica 15/1999 establece que “el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley”.

Es importante recordar, en relación a la exactitud de los datos recogidos pro la Central de Información de Riesgos que (artículo 9 de la citada Ley Orgánica), “los datos de c a rácter personal s e rán exactos y puestos al día de for m a que res pondan con v e racidad a la  situación actual del afectado ”.

No obstante, cualquier entidad puede pedir información concreta de un titular si este le solicita una operación de riesgo o figura como obligado al pago o garante en documentos cambiarios o de crédito cuya adquisición o negociación haya sido solicitada a la entidad.

En relación a los ejercicios de derechos e acceso el Banco de España, a través de su web informa que “Cualquier persona física (un individuo) o jurídica (una sociedad) puede acceder de forma gratuita a toda la información que está a su nombre en la CIR.

El acceso puede hacerse de tres formas:

  • 1. A través de la Oficina Virtual del Banco de España, siendo el único requisito imprescindible para ello disponer de firma digital: para informes de personas físicas, DNI electrónico certificado de firma digital de la Fábrica Nacional de Moneda y Timbre y, para personas jurídicas, certificado de personas jurídicas de este Organismo.
  • 2. Ir a las oficinas de la Central de Información de Riesgos, en la sede del Banco de España en la calle Alcalá, 48, de Madrid, o a cualquiera de sus sucursales en horario de 8.30 a 14 horas. El solicitante deberá identificarse suficientemente, presentando su DNI, NIE, pasaporte u otro documento válido.
  • 3. Pedirlo por carta, a la Central de Información de Riesgos de Madrid en la siguiente dirección: Banco de España. Información Financiera y Central de Riesgos C/ Alcalá, 48. 28014 Madrid

Los requisitos de la solicitud son:

Debe ir firmada por el titular, adjuntando fotocopia legible de ambas caras del DNI, NIE, pasaporte u otro documento válido que le identifique, e indicando la dirección para su envío por correo certificado (preferiblemente el domicilio particular).

En caso de que el informe de riesgos lo solicite un representante del titular, será necesario que se aporte fotocopia del documento público que acredite su derecho a obtener información en nombre del representado, así como el DNI, NIE, pasaporte u otro documento válido que identifique al representante.

No obstante lo anterior, el Banco de España, en defensa de la confidencialidad de los datos, se reserva la posibilidad de ampliar las exigencias de información necesarias cuando tenga dudas sobre la correcta identificación de quien solicita los datos”. Sobre el ejercicio del derecho de rectificación “los titulares que consideren que los datos declarados por las entidades a la Central de Información de Riesgos (CIR) son inexactos o incompletos deben dirigirse a la entidad que ha facilitado la información errónea para pedir su rectificación o cancelación. También pueden hacerlo a través del Banco de España, que hará la gestión ante la entidad declarante. En este caso, el titular enviará al Banco de España un escrito, con los mismos requisitos establecidos para el derecho de acceso, en el que se especificarán los datos erróneos y las razones de la petición (…) El procedimiento que se sigue para la tramitación de las solicitudes presentadas, así como sus efectos, se recogen en el apartado 2 de la norma novena de la Circular 3/1995, de 25 de septiembre”.

Por último, el Banco de España, en relación al procedimiento de reclamación contra una entidad por disconformidad con lo declarado a la Central de Información de Riesgos, informa que “si una persona física o jurídica considera que los datos declarados a la CIR a su nombre son inexactos o incompletos podrá dirigirse directamente a la entidad o entidades declarantes requiriendo su rectificación o cancelación, o solicitar al Banco de España que tramite su reclamación, para lo cual deberá identificar los datos que considera erróneos, así como justificar por escrito las razones y alcance de su petición (Articulo 65 de la Ley 44/2002 de Medidas de Reforma del Sistema Financiero). La CIR, al no ser la acreedora, no puede modificar los riesgos declarados por las entidades que son las responsables de su declaración y quienes deben realizar las modificaciones. El Banco de España dará traslado, siempre que así lo estime, de las solicitudes de rectificación o cancelación a la entidad o entidades declarantes de los datos supuestamente inexactos o incompletos. Las entidades deberán contestar tanto al reclamante como a la CIR (cuando la reclamación se hubiese tramitado a través del Banco de España), en el plazo máximo de 15 días hábiles, si el reclamante es una persona física, y de 20 días hábiles si se trata de una persona jurídica. El plazo se contará desde la recepción de la reclamación en cualquiera de las oficinas de la entidad.

Si la entidad accediese a lo solicitado por el reclamante, deberá enviar de inmediato a la CIR una declaración complementaria con las rectificaciones o cancelaciones de todos los datos declarados erróneamente. La CIR comunicará los datos corregidos a las entidades a las que previamente les hubiese cedido los erróneos. Si, por el contrario, la entidad se ratifica en su declaración, deberá justificar los motivos de su decisión. En este último caso la CIR prorrogará la suspensión de la cesión de los datos controvertidos durante dos meses más, salvo que el titular admita la justificación dada por la entidad, en cuyo caso se desbloquearán inmediatamente”.