close

Interés Legítimo

GDPRInterés LegítimoProtección de Datos

Ficheros relativos al cumplimiento de obligaciones dinerarias en el extranjero

solvencia-estado

Al informar a los interesados ¿Es posible la inclusión genérica de la mención a ficheros relativos al cumplimiento de obligaciones dinerarias y que esta mención se entienda extendida a dichos ficheros aunque se encuentren establecidos en el extranjero? ¿Se requiere consentimiento expreso del cliente para la inclusión de sus datos en el fichero de morosidad extranjero? ¿Se podría basar la inclusión de los datos personales en los ficheros de morosidad extranjeros en el interés legítimo?

Para dar una respuesta en vistas al cumplimiento con el nuevo Reglamento General de Protección de Datos, es necesario hacer previamente una distinción. Así, la respuesta será distinta si la cesión de los datos sobre incumplimiento de obligaciones dinerarias se hace a países dentro del Espacio Económico Europeo (“EEE”) o países localizados fuera de los mismos. En este último caso, tratándose de una transferencia internacional, hay que hacer una segunda diferenciación, a saber, si dicha transferencia se realiza a un país que goza de una Decisión de Adecuación o mediante garantías adecuadas, o si por el contrario no concurren ni la existencia de una Decisión de Adecuación ni de garantías adecuadas.

En cuanto a la primera distinción:

A) Si la inclusión (cesión) de los datos sobre incumplimiento de obligaciones dinerarias se realizase en ficheros localizados dentro del EEE, estaríamos dentro de la definición de cesión de datos. En este caso, el tratamiento está legitimado por una habilitación legal específica, en concreto el artículo 29.2 de la LOPD, siempre y cuando se cumplan todos los requisitos de información y de operativa previstos en dicho artículo. Es decir, deberá notificarse a los interesados, en un plazo de 30 días, desde que se realice el registro un referencia a los datos incluidos y la información de su derecho a recabar información de la totalidad de esos ficheros.

Asimismo, conforme al artículo 5 de la LOPD, se debería informar con detalle de los cesionarios de dicha información, y en el caso que dichos cesionarios se encuentren establecidos en países de la UE, fuera de España, entendemos que es conveniente recoger los concretos destinatarios, o al menos la actividad de dichas compañías, junto con los países donde realizan dicha actividad.

En cualquier caso, los ficheros de morosos establecidos en estos países tendrán que cumplir con una serie de requisitos a nivel local y, el hecho de incluir información en dichos ficheros, puede traer consigo tener que cumplir con obligaciones adicionales que establezca la propia normativa local.

El Reglamento General de Protección de Datos no contiene regulación alguna sobre ficheros de solvencia patrimonial. Aunque quepa esperar que la situación no sufra importantes cambios, dado que la habilitación legal específica para este tipo de tratamiento tiene como trasfondo el “interés legítimo de preservación y estabilidad del sistema financiero”, tal y como apunta el Grupo de Trabajo del Artículo 29 en su documento sobre las listas negras, habrá que esperar al texto definitivo que recoja nuestra modificación legislativa. En cualquier caso, siempre ha de ser tenido en consideración que el interés legítimo ha de ser ponderado con los derechos de los interesados, y especialmente en casos como este en que el tratamiento de los datos “implica efectos adversos y perjudiciales para las personas incluidas en las [listas]” según el Grupo de Trabajo del Artículo 29.

B) Si la inclusión se realiza en ficheros localizados fuera del EEE, se trataría de una transferencia internacional, de modo que habría que hacer otra distinción:

    • Si la transferencia se realiza a un Estado que no disfruta de una Decisión de Adecuación o dicha transferencia no se lleva a cabo ofreciendo garantías adecuadas de acuerdo con el artículo 46 del Reglamento, será necesario el consentimiento explícito del interesado, que habrá debido ser informado de los riesgos de la ausencia de una Decisión de Adecuación y de garantías adecuadas. No cabe la posibilidad de articular el interés legítimo para justificar transferencias internacionales sin la adopción de garantías adecuadas.
    • Si la transferencia se realiza a un Estado que disfruta de una Decisión de Adecuación o la transferencia se lleva a cabo mediante garantías adecuadas, habría que tener en cuenta los requisitos recogidos en el punto A.
leer más
GDPRInterés LegítimoProtección de Datos

Scoring: análisis de la solvencia del cliente para ofrecerle una posterior financiación

no thumb

En su Informe 195/2017, la Agencia Española de Protección de Datos (AEPD) responde – entre otras- a una consulta planteada por la Asociación Española de Banca (AEB) que versa sobre de la legitimación de los tratamientos de datos de carácter personal consistentes en la realización del análisis de la solvencia de un cliente con la finalidad de ofrecerle financiación.

La AEB se refiere en este supuesto al tratamiento de datos identificativos del cliente, así como de datos de relacionados con la solvencia o el riesgo, llevándose a cabo un perfilado.

En la consulta planteada, la AEB solicita a la AEPD que tenga en consideración que para conceder financiación las entidades bancarias han de realizar necesariamente y con carácter previo un análisis de la solvencia del cliente, en línea con lo previsto en la legislación sectorial y sus propias políticas de riesgo.

Asimismo, la AEB entiende que cuando sea la propia entidad la que por iniciativa propia ofrezca la financiación al cliente, ésta debería poder ampararse en su interés legítimo, habida cuenta que este tipo de acción puede aportar un enorme beneficio a los clientes, quienes son en último término los que deciden voluntariamente si acceden o no al producto o servicio ofertado.

Dando respuesta a la mencionada consulta, la AEPD considera que resulta preciso distinguir los dos siguientes supuestos:

  • Análisis llevado a cabo para valorar la solvencia del cliente que solicita un producto de financiación (p.ej., la concesión de un préstamo o crédito) para determinar el riesgo que puede generar el mismo y decidir sobre la conclusión o no del contrato.

Este tratamiento vendría legitimado atendiendo a la ejecución de contrato (artículo 6.1.b del RGPD), en conexión con normativa sectorial que eventualmente imponga el deber de recabar información necesaria para la valoración del riesgo.

Además, en este caso, la legitimación sería la misma, independientemente de que la información utilizada para llevar a cabo el análisis de solvencia proviniese de fuentes meramente internas, o también de fuentes externas a las entidades bancarias.

Enlazando con lo anterior, es necesario indicar que en el caso de la consulta de los ficheros de solvencia patrimonial y de crédito, la protección de los intereses económicos del cliente debe también conjugarse con el derecho fundamental a la protección de datos personales. Dado que la información relativa al cumplimiento o incumplimiento de obligaciones dinerarias facilitadas por el acreedor o por quien actúe por su cuenta o interés tendrá la consideración de dato de carácter personal, se debe tener en cuenta que nuestro ordenamiento jurídico impone ciertas limitaciones en cuanto al tratamiento de esta tipología de dato de carácter personal.

Así, el aún vigente -a fecha de emisión del presente informe- artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece que quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y crediticia, sólo podrán tratar datos de carácter personal procedentes de los registros y fuentes accesibles al público establecido para tal uso o aquellos datos obtenidos de informaciones facilitadas por el interesado o con su consentimiento. De esta manera, queda establecido en el artículo 38.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD que sólo se podrá acceder y disponer de datos relativos a la solvencia del cliente, para proceder a su análisis, en los casos en los que se cumplan los siguientes requisitos:

  1. La existencia previa de una deuda cierta, vencida y exigible.
  2. El impago de ésta.
  3. La no reclamación de la deuda por vía judicial, arbitral o administrativa.
  4. Que no hayan transcurrido seis años desde la fecha en que estaba fijado el pago de la deuda o el vencimiento de la obligación o del plazo concreto si se tratara de una obligación periódica.
  5. La realización de un requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

Asimismo, cabe indicar que el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal regula las posibles habilitaciones legales para el tratamiento de datos personales fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el GDPR, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento.

Ahora bien, de conformidad con el GDPR, a pesar de no tener que recabar el consentimiento, las entidades bancarias deberán facilitar la siguiente información a los interesados:

  1. Información significativa sobre la lógica aplicada.
  2. La importancia y las consecuencias de su negativa a la realización del scoring, que puede suponer que la entidad no pueda proceder con la concesión del crédito o la prestación del servicio.Asimismo, la entidad bancaria deberá adoptar siempre medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado.
  • Análisis llevado a cabo sin que el cliente haya solicitado producto de financiación, empleado para ofrecerle un producto no solicitado (p.ej., la “preconcesión” de un crédito).

Cuando el perfilado se lleva a cabo con información distinta de la derivada de la relación del cliente con la entidad (información de fuentes externas), se requerirá el consentimiento del interesado.

Cuando el perfilado se lleva a cabo exclusivamente con información propia de la entidad, aplicará el interés legítimo dado que se puede entender que el interesado tiene una expectativa razonable de que la contratación de un producto o servicio de implicará un seguimiento posterior de los mismos con el fin de determinar si pueden o no ser potenciales beneficiarios de otras ofertas de productos o servicios de la entidad. En este supuesto, se habrá de informar al interesado de que se va a llevar a cabo este perfilado no bastando únicamente con informarle sobre la remisión de publicidad y se le deberá dar la oportunidad de oponerse al mismo.

 

leer más
GDPRInterés LegítimoProtección de Datos

Actividades de marketing directo amparadas en interés legítimo

merca-798×350

El Considerando 47 del RGPD establece que el tratamiento de datos personales con fines de mercadotecnia directa podrá considerarse realizado atendiendo al interés legítimo del responsable del tratamiento. Por lo tanto, con carácter preliminar resulta necesario definir el concepto de marketing directo o mercadotecnia directa.

Según se puede extraer del Dictamen 6/2014 del Grupo de Trabajo del Artículo 29 (en adelante, el “GT Art. 29”) sobre el concepto de Interés legítimo, por “marketing directo” debe entenderse la realización de actividades convencionales de marketing dirigidas indistintamente a una pluralidad de clientes, distintas del marketing comportamental basado en técnicas de monitorización como las cookies o de perfilamiento. En concreto, el GT Art. 29 menciona:

  • Las campañas de marketing diseñadas para el contexto tradicional del correo postal.
  • Los sistemas de llamadas automáticos, fax, SMS y e-mail.

 

Por otra parte, la Agencia Española de Protección de Datos (en adelante, la “AEPD”) en su Informe Jurídico 195/2017 – mediante el que dio respuesta a una serie de consultas relacionadas con el RGPD planteadas por la Asociación Española de Banca (en adelante, la “AEB”) – indica que en el caso de la mercadotecnia directa, las acciones comerciales tienen lugar sobre la información general facilitada por el cliente, de modo que no se produce su segmentación basada en la realización de un perfilado.

Pues bien, una vez indicado qué debe entenderse por mercadotecnia directa, a la hora de interpretar el Considerando 47 y dado que éste no viene desarrollado por el articulado del RGPD, debemos remitirnos de nuevo al Informe Jurídico 195/2017 de la AEPD. En dicho Informe, la AEPD analiza específicamente, entre otros, cómo debe entenderse en la práctica la aplicación del Considerando 47 del RGPD. En concreto, la AEPD lo vincula con lo previsto en el artículo 21.2 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (en adelante, la “LSSI”):

“[…] exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita lo datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

Así pues, para poder entender que un tratamiento de mercadotecnia directa efectuado por el Banco puede ampararse en un interés legítimo, tendrían que concurrir las siguientes circunstancias:

(1) La comunicación ha de versar sobre productos y/o servicios similares

La LSSI no define dicha referencia ni tampoco ofrece un criterio inequívoco para la determinación de la “similitud” entre productos y servicios. No obstante, el Informe 195/2017 de la AEPD recoge lo siguiente en su apartado IV:

“[…] será preciso que se haga una interpretación razonable de lo que debe ser considerado como un producto o servicio similar al previamente contratado por el cliente, de forma que la habilitación que podría ampararse en la regla a la que se está haciendo referencia debería igualmente vincularse con la naturaleza de los productos y servicios previamente contratados, no extendiéndose a aquéllos respecto de los que no pueda aplicarse una identificación lógica basada en la expectativa razonable del cliente.

De este modo, no cabría duda de que sería posible la oferta de otros productos relacionados con el ahorro o el crédito, pero sería necesario establecer ya un primer análisis restrictivo cuando la acción de publicidad se refiriese a servicios que pudieran encajar en el concepto amplio de “servicios financieros”, como sucedería en el caso de los seguros. […]”

(2) La comunicación ha de versar sobre productos/servicios de la propia empresa

De nuevo, la LSSI no define dicha referencia, pero el Informe 195/2017 de la AEPD recoge lo siguiente:

“[…] Finalmente, la ponderación a la que estamos haciendo referencia no operaría cuando se tratase de publicidad u oferta de productos o servicios que no guardan relación con la actividad de la entidad, sino que la acción publicitaria deriva de la existencia de un determinado acuerdo con el anunciante al que se refiriese la publicidad o afectase a productos o servicios no financieros pero ofrecidos por empresas del grupo o participadas por la entidad.

Por otra parte, la ponderación que acaba de realizarse sería aplicable a los supuestos en que el interesado mantuviera una relación con la entidad, sin afectar a aquéllos en que el cliente hubiese cesado en esa relación.

[…] Sin embargo, esta conclusión no puede predicarse de aquellos supuestos en que el afectado ha decidido voluntariamente cesar en la relación con la entidad, bien por haber resuelto sobre la base de su propia decisión la relación con aquélla, bien por el hecho de haberse cumplido plenamente dicha relación sin que el afectado haya manifestado su voluntad de contratar nuevos productos o servicios de la entidad. En este caso, sin perjuicio de que pueda apreciarse un interés legítimo de la entidad en llevar a cabo la oferta de esos productos o servicios, no cabría considerar que exista una expectativa razonable en quien ya no es cliente de una entidad o lo ha sido eventualmente de seguir recibiendo las ofertas de productos o servicios de esa entidad a menos que manifieste su negativa a ello.”

 

leer más