El artículo 29.2 de la citada Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal, permite tratar datos de carácter personal relativos al incumplimiento de obligaciones dinerarias facilitados por los acreedores o por quien actúe por su cuenta o interés; teniendo derecho el ciudadano a solicitar al responsable que le comunique los datos, así como las evaluaciones y apreciaciones que se hayan comunicado durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado dichos datos.
La creación de Fichero de datos de carácter personal comporta una serie de obligaciones por parte del Responsable del Fichero, conforme a la Ley Orgánica 15/1999: la creación del Fichero deberá ser notificada previamente la Agencia Española de Protección de Datos, para su inscripción en el Registro. Los datos que, objeto de tratamiento del Fichero, deberán ser adecuados, pertinentes, no excesivos, exactos y puestos al día y deberán tratarse con la finalidad para lo cual hayan sido recabados, debiendo el Responsable del Fichero informar a las personas de las cuales recabará los datos, sobre la finalidad del tratamiento de los datos, los derechos de acceso, rectificación, cancelación y oposición, así como la identidad y dirección del Responsable.
La inclusión de los datos de carácter personal en los Ficheros de morosidad, sólo podrá efectuarse cuando exista una deuda cierta, vencida y exigible, que haya resultado impagada, y después de que se haya requerido al ciudadano afectado el pago de la deuda por el acreedor, conforme a la legislación vigente, por lo que no podrán ser tratado datos cuando medie un principio de prueba documental que contradiga la existencia de la propia deuda reclamada, llevando consigo la cancelación cautelar del datos desfavorable cuando se hubiera incluido en dichos Ficheros.
Los datos incluidos en los Ficheros de morosidad, solo podrán ser cedidos cuando sean determinantes para enjuiciar la solvencia económica de los ciudadanos y siempre que no se refieran, en caso negativo, a más de seis años, con la condición de que sean veraces y exactos conforme a la situación actual del ciudadano. El acreedor o quien actúe por su cuenta e interés deberá asegurarse que concurren todos los requisitos exigidos en el momento de notificar los datos adversos al Responsable del Fichero común.
En el caso de que el ciudadano incluido en este tipo de Fichero haya procedido al pago de la deuda deberá procederse a la cancelación inmediata del dato referido al mismo, debiendo comunicar, el ciudadano afectado, al Responsable del Fichero, en el plazo de una semana, la inexactitud o inexistencia de la deuda, debiendo el Responsable rectificar el dato a efectos de refelejar correctamente la situación actual.
El Responsable del Fichero común de morosidad tiene la obligación de notificar al ciudadano, en el plazo máximo de treinta días a contar desde el registro del dato que ha procedido a incluirlo en el Fichero, indicando los datos incluidos, así como al derecho que le asiste para recabar información de la totalidad de ellos en los términos establecidos en la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal. Dicha notificación se realizará a la última dirección conocida del ciudadano afectado, a través de un medio fiable e independiente, quedando constancia de dicha comunciación.
Con independencia del origen de los datos, cuando el ciudadano lo solicite, el Responsable del Fichero de morosidad deberá informar sobre las evaluaciones y apreciaciones que se hayan comunicado en los últimos seis meses, así como el nombre y dirección de la persona o entidad a quien se hayan revelado los datos; así mismo cuando el ciudadano lo solicite, se deberá atender los derechos de rectificación y cancelación, en este sentido podemos encontrarnos con tres supuestos, segín informa la propia Agencia Española de Protección de Datos en sus Guías Informativas:
- Si la solicitud del ejercicio de los derechos se dirige al Responsable del Fichero común, éste trasladará dicha solicitud al acreedor que haya facilitado los datos relativos a la deuda, para que éste resuelva. En el caso de que el responsable del fichero común no haya recibido contestación por parte del acreedor en el plazo de diez días, procederá cautelarmente a la rectificación o cancelación de los mismos.
- Si la solicitud del ejercicio de los derechos de rectificación o cancelación de datos se dirige a otra entidad participante en el sistema y hace referencia a datos que dicha entidad haya facilitado al fichero común, por ser la misma la acreedora del interesado, dicha entidad procederá a la rectificación o cancelación de los datos en sus ficheros y a notificarlo al responsable del fichero común en el plazo de diez días.
- Si la solicitud hace referencia a datos que la entidad acreedora no hubiera facilitado al fichero común, dicha entidad informará al afectado sobre este hecho, proporcionándole, además, la identidad del responsable del fichero común para que pueda completar el ejercicio de sus derechos.
Sobre los datos e información a incluir, cabe recordar que no pueden facilitarse datos sin relevancia económica, que el dato registrado no puede tener mas de seis años de antigüedad y que no puede incluirse ningún impago o cumplimiento irregular, sino desde el cuarto mes, contado a partir del vencimiento de la obligación incumplida o del plazo en concreto de la misma si fuera de cumplimiento periódico.
En relación al principio de calidad de los datos se debe tener en cuenta la Sentencia del Tribunal Supremo de e 21 de enero de 2004 “el principio de calidad del dato comienza a infringirse en el momento en que se facilitan datos erróneos a un fichero que presta información a terceros sobre el incumplimiento de obligaciones dinerarias. Así, como sostiene la sentencia del Tribunal Constitucional 254/1993, el Art. 18.4 de la CE, del que son desarrollo las Leyes Orgánicas 5/1992 y 1 5/1999, incorpora un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad, pero también de un instituto que es, en sí mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos”.
Conforme el artículo 38.b) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, la inscripción desfavorable en un fichero de morosidad, podrá permanecer hastaseis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.
Sobre las medidas de seguridad aplciables, la Instucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, especifica que “los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán acreditar la efectiva implantación de las medidas de seguridad exigidas por el artículo 9.1 de la Ley Orgánica dentro del año siguiente a la publicación de la presente Instrucción. Para los ficheros que se inscriban con posterioridad a esta Instrucción, el plazo se computará a partir de la fecha en que aquélla se haya efectuado en el Registro General de Protección de Datos.
La implantación, idoneidad y eficacia de dichas medidas se acreditará mediante la realización de una auditoría, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, y la remisión del informe final de la misma a la Agencia de Protección de Datos.
La auditoría podrá ser realizada: Por el departamento de auditoría interna del responsable del fichero, si cuenta con un departamento formalmente constituido, profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos. Por un auditor externo, profesionalmente cualificado e independiente del responsable del fichero. La auditoría deberá ser realizada de acuerdo con las normas y recomendaciones de ejercicio profesional aplicables en el momento de su ejecución. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles destinados a garantizar la integridad y confidencialidad de los datos personales almacenados o tratados, identificar sus deficiencias o insuficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá,igualmente, incluir los datos, hechos y observaciones en que se basan los dictámenes alcanzados y recomendaciones propuestas. Adicionalmente, los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán someterse a una nueva auditoría tras la adopción de las medidas específicas que, en su caso, la Agencia determine, a resultas del informe inicial de auditoría. En todo caso, dichos sistemas deberán ser auditados periódicamente, a intervalos no mayores de dos años”.
En España existen actualmente más de 150 Ficheros de morossidad, dentro de los cuales, los de mayor relevancia son el Registro de Aceptaciones Impagadas (RAI) que depende del Centro de Cooperación Interbancaria y la Asociación Nacional de Entidades de Financiación (ASNEF) que engloba los archivos de las entidades financieras españolas. El objetivo de estas entidades es ayudar a las empresas a minimizar los riesgos financieros al permitir consultas sobre posibles morosos con carácter previo al inicio de relaciones comerciales o mercantiles.
Según la Agencia Española de Protección de Datos, la crisis ha multiplicado el número de personas incluidas de forma indebida en Ficheros de morosidad, fundamentalmente en el sector de las bancario y de telecomunicaciones, produciéndose un crecimiento de las denuncias en 2011 del 50%. La mayoría relacionadas con la inclusión indebida en los citados Ficheros, bien porque no se trate de una deuda cierta, porque no ha sido debidamente reclamada o no se haya comunicado previamente al afectado.