Establece el TS que el responsable
del tratamiento de los datos obrantes en el registro de morosos del que es
titular (en este caso "Equifax"), le compete atender la solicitud de cancelación o rectificación del
afectado cuando la misma sea suficientemente fundada, y si los datos incluidos
en el fichero no respetan las exigencias de calidad derivadas de las normas
reguladoras del derecho, ha de responder de los daños
y perjuicios causados al afectado cuando se hayan incumplido estas obligaciones. Añade que si el interesado ejercita el derecho
de rectificación o cancelación ante el responsable del registro de morosos, si
la reclamación se realiza de manera documentada y justificada, el responsable
de este fichero ha de satisfacer este derecho en los términos previstos en el
art. 16 LOPD, y no puede limitarse a trasladar la solicitud al acreedor, para
que este decida, y seguir acríticamente las indicaciones de este, dando una
respuesta estandarizada al afectado al que niega la cancelación.
"FUNDAMENTOS DE
DERECHO
SÉPTIMO.-Decisión
del motivo. Normativa sobre protección de datos personales, ámbito de aplicación
y principios rectores.
1.- Las demandadas,
hoy recurridas, niegan que sea aplicable la normativa sobre protección de datos
de carácter personal, en concreto la LOPD y su Reglamento de desarrollo, porque
el demandante es un empresario. Pese a ello, afirman haber cumplido las
exigencias de tal normativa.
2.- D. Gerardo ha
interpuesto una demanda de protección jurisdiccional de los derechos
fundamentales, en la que solicita la protección de sus derechos fundamentales
al honor, a la intimidad y la propia imagen, protegidos en el art. 18.1 de la
Constitución , y la indemnización de los daños sufridos por la intromisión ilegítima
del mismo, intromisión que se habría producido a su vez como consecuencia de la
vulneración de su derecho fundamental a la protección de datos de carácter
personal, protegido en el art. 18.4 de la Constitución, al ser incluido
indebidamente en un registro de morosos.
La jurisprudencia de
esta sala, desde la sentencia núm. 284/2009, de 24 de abril , ha afirmado que
el derecho fundamental afectado por una actuación de esta naturaleza es
exclusivamente el derecho al honor, y así lo han entendido los órganos de instancia.
La jurisprudencia
constitucional y la ordinaria ( sentencias núm. 733/2004, de 19 de julio, y
núm. 226/2012, de 9 de abril , por todas) consideran incluido en la protección
del honor el prestigio profesional, pues consideran que forma parte del marco
externo de trascendencia en que se desenvuelve el honor.
No se cuestiona a
esta altura del litigio que la actuación de Yell, al comunicar a Equifax los
datos personales del demandante para que los incluyera en el registro de
morosos Asnef, constituyó una infracción de su derecho al honor, y asimismo una
infracción de su derecho a la protección de datos personales puesto que Yell no
respetó los principios de calidad de los datos que informan la regulación de
este derecho. La sentencia de primera instancia así lo declaró, y el
pronunciamiento condenatorio de Yell por esta causa ha sido consentido.
Lo que se cuestiona
en este motivo es si puede imputarse también tal intromisión ilegítima a
Equifax, para lo cual es preciso determinar si esta empresa, titular y
responsable del fichero Asnef, respetó el derecho a la protección de datos
personales del demandante, para lo cual es necesario precisar qué normativa es aplicable,
puesto que si la actuación de Equifax hubiera sido conforme a Derecho, la
afectación que su conducta ha causado en el honor del demandante no
constituiría una intromisión ilegítima.
3.- El art. 18.4 de
la Constitución establece: « la ley limitará el uso de la informática para
garantizar el honor y la intimidad personal y familiar de los ciudadanos y el
pleno ejercicio de sus derechos ».
Esta sala ha
abordado en varias sentencias la protección de este derecho, en relación con la
del derecho al honor, frente a las intromisiones derivadas de la indebida
inclusión en un registro de morosos.
Una de las últimas
ha sido la num. 12/2014, de 22 de enero. En esta sentencia afirmábamos que el Tribunal
Constitucional, desde sus primeras sentencias sobre esta cuestión, consideró
que el art. 18.4 de la Constitución consagra tanto una institución de garantía
de otros derechos, fundamentalmente el honor y la intimidad, como también un
derecho o libertad fundamental, el derecho a la libertad frente a las
potenciales agresiones a la dignidad y a la libertad de la persona provenientes
de un uso ilegítimo del tratamiento mecanizado de datos.
La STC 292/2000, de
30 de noviembre , definió el derecho fundamental a la protección de datos de carácter
personal como « un derecho o libertad fundamental [...] frente a las potenciales
agresiones a la dignidad y a la libertad de las personas provenientes de un uso
ilegítimo del tratamiento mecanizado de datos lo que la Constitución llama la
informática ».
Se trata, según el
Tribunal Constitucional, del derecho de control sobre los datos relativos a la
propia persona insertos en un programa informático, "habeas data" (
STC 254/1993, de 20 de julio ), que ha sido denominado como "libertad
informática" en otras sentencias ( SSTC 143/1994 , 11/1998 , 94/1998 ,
202/1999, y 292/2000). Afirma el Tribunal Constitucional en varias de estas
sentencias que junto con un contenido negativo (limitar el uso de la
informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos
y el pleno ejercicio de sus derechos), este derecho fundamental tiene un
contenido positivo: la atribución al afectado de determinadas posibilidades de
actuación, de ciertas acciones para exigir a terceros un determinado
comportamiento.
4.- Este derecho fue
regulado de forma detallada en el Convenio núm. 108 del Consejo de Europa, de 28
de enero de 1981, para la protección de las personas con respecto al
tratamiento automatizado de datos de carácter personal (en lo sucesivo, el
Convenio), cuya importancia interpretativa a efectos de configurar el sentido y
alcance del derecho fundamental recogido en el art. 18.4 de la Constitución fue
reconocida por la citada STC 254/1993 . De acuerdo con su art. 1, la finalidad
del Convenio es garantizar a cualquier persona física el respeto de sus
derechos y libertades fundamentales, concretamente su derecho a la vida
privada, con respecto al tratamiento automatizado de los datos de carácter
personal correspondientes a dicha persona.
El art. 5 del
Convenio establece que los datos de carácter personal que fueran objeto de
tratamiento automatizado deben ser adecuados, pertinentes y no excesivos en
relación con las finalidades para las cuales se hayan registrado, exactos y si
fuera necesario puestos al día. El art. 8 del Convenio establece como derechos
de cualquier persona, entre otros, la comunicación al interesado de los datos
personales que consten en el fichero en forma inteligible, y que este pueda
obtener, llegado el caso, la rectificación de dichos datos o el borrado de los
mismos, cuando se hayan tratado con infracción de, entre otros, los principios
de adecuación, pertinencia, proporcionalidad y exactitud referidos en el art. 5
del Convenio.
5.- La normativa de
la Unión Europea también ha concedido gran relevancia a la protección de datos de
carácter personal y a los derechos de los ciudadanos en relación a tal
cuestión, hasta el punto de que el art. 8 de la Carta de Derechos Fundamentales
de la Unión Europea reconoce como fundamental el derecho a la protección de los
datos de carácter personal.
A diferencia de lo
que ocurre con la mayoría de los derechos fundamentales contenidos en tal
carta, el legislador constituyente comunitario no se ha limitado a mencionar el
derecho, sino que ha enunciado en el precepto su contenido esencial, al establecer
en el párrafo 2º: « Estos datos se tratarán de modo leal, para fines concretos
y sobre la base del consentimiento de la persona afectada o en virtud de otro
fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a
los datos recogidos que la conciernan y a su rectificación ».
Este derecho ha sido
también objeto de regulación en la Directiva 1995/46/CE, de 24 octubre del Parlamento
Europeo y del Consejo de la Unión Europea (en lo sucesivo, la Directiva), de
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos.
6.- Los elementos
fundamentales que se repiten en la regulación contenida en esas normas
(Convenio, Carta de Derechos Fundamentales y Directiva), y que se relacionan
íntimamente entre sí, son dos: (i) exigencia de calidad en los datos personales
objeto de tratamiento automatizado en ficheros, en sus aspectos de adecuación,
pertinencia, proporcionalidad y exactitud; y (ii) concesión al afectado de un derecho
de rectificación cuando sus datos personales hayan sido objeto de tratamiento
sin respetar tales exigencias.
7.- La Directiva
1995/46/CE obligó a dictar una nueva ley orgánica de desarrollo del art. 18.4
de la Constitución que la traspusiera a derecho interno, ante la manifiesta
insuficiencia e inadecuación de la anterior Ley Orgánica 5/1992. Esta nueva
ley, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal (LOPD), es la aplicable en este caso al ser la que estaba en
vigor cuando sucedieron los hechos objeto del recurso.
El Real Decreto
1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD.
Las sentencias de la sala de lo contencioso-administrativo del Tribunal Supremo
de 15 de julio de 2010 han anulado algunos preceptos de dicho reglamento.
8.- La Carta de
Derechos Fundamentales, el Convenio y el art. 18.4 de la Constitución no
configuran el derecho a la protección de los datos personales como un derecho
limitado a las personas que no sean comerciantes. La Carta concede tal derecho
a « toda persona », el Convenio, a « cualquier persona física »,
Asimismo, la LOPD,
en su art. 2 , al regular su ámbito de aplicación, no excluye del mismo a los comerciantes.
Por tanto, la regulación de tal derecho que resulta de tales
normas superiores, y en concreto la relativa a los principios de calidad de los
datos y los derechos de los interesados en relación al tratamiento de sus datos
personales, resulta de aplicación a todos los ciudadanos, sean o no
comerciantes o profesionales. Cuestión distinta es que algunos de los
datos relativos a los comerciantes (el nombre comercial, el domicilio, el
teléfono, las actividades empresariales, etc.) puedan ser objeto de tratamiento
automatizado sin observar los requisitos y garantías de la normativa de
protección de datos, al quedar fuera del ámbito de aplicación de la LOPD, por la
finalidad a la que responde esta ley, y no afectar al derecho fundamental del
art. 18.4 de la Constitución .
En consecuencia, la
previsión del art. 2.3 RPD, cuando establece que « los datos relativos a empresarios individuales, cuando hagan
referencia a ellos en su calidad de comerciantes, industriales o navieros,
también se entenderán excluidos del régimen de aplicación de la protección de
datos de carácter personal », no puede suponer que las personas físicas que
reúnan la condición de comerciante carezcan del derecho a la protección de
datos personales reconocido en el Convenio, la Carta y la Constitución, y menos
aún cuando este derecho esté en relación directa con la protección de su
derecho al honor.
Tampoco puede
suponer que estas personas queden excluidas del ámbito de aplicación de la
LOPD, pues un reglamento no puede excluir de la protección de una ley orgánica
de desarrollo de un derecho fundamental a quienes la Constitución, el Convenio,
la Directiva y la propia ley orgánica no han excluido.
Como argumento de
refuerzo, dicha exclusión no podría nunca interpretarse extensivamente, de modo
que la exclusión referida a los datos relativos a empresarios individuales,
cuando hagan mención a estos en su calidad de comerciantes, industriales o
navieros, se haga extensiva a profesionales liberales, como es el caso del
demandante, abogado en ejercicio.
9.- La recogida y
tratamiento de datos de carácter personal, y la formación de ficheros con tales
datos (entendiendo estos términos en el sentido de las definiciones contenidas
en el art. 3 LOPD ), han de estar regidos por los principios de adecuación,
pertinencia, proporcionalidad y exactitud. Estos principios conforman lo que en
la terminología de la normativa de protección de datos se denomina
"calidad de los datos" (arts. 6 de la Directiva y 4 LOPD).
Los datos personales
recogidos, tratados e incorporados al fichero han de ser exactos (art. 6.1.e de
la Directiva y 4.3 LOPD), adecuados, pertinentes y no excesivos en relación con
el ámbito y las finalidades para las que se hayan obtenido (art. 6.1.d de la
Directiva y 4.1 LOPD).
Si los datos de
carácter personal registrados resultaran ser inexactos, en todo o en parte, o
incompletos, serán cancelados y sustituidos de oficio por los correspondientes
datos rectificados o completados, sin perjuicio de que los afectados puedan
ejercitar sus derechos de rectificación o cancelación, en línea con lo previsto
en el art. 8 del Convenio, y serán cancelados cuando hayan dejado de ser
necesarios o pertinentes para la finalidad para la cual hubieran sido recabados
o registrados ( art. 4.4 º y 5º LOPD).
10.- La persona
cuyos datos personales son recogidos, tratados e incorporados a un fichero
tiene derecho a obtener información, de forma inteligible, sobre sus datos de
carácter personal sometidos a tratamiento (art. 12.a de la Directiva y 15 LOPD)
así como a obtener la rectificación, cancelación y bloqueo de los datos cuyo
tratamiento no se ajuste a las exigencias de la normativa de protección de
datos personales, en particular cuando tales datos resulten inexactos o
incompletos (art. 12.b de la Directiva y 16.1 LOPD), debiendo el responsable
del tratamiento hacer efectivo dicho derecho en el plazo de 10 días ( art. 16.1
LOPD ), dando lugar la cancelación al bloqueo de los datos y debiendo el
responsable del tratamiento notificar la rectificación
o cancelación de los
datos a aquellos a los que previamente hubieran sido comunicados los datos
rectificados o cancelados ( art. 16.3 y 4 LOPD ).
11.- Si el responsable o el encargado del tratamiento no
respetara las exigencias derivadas de los principios que regulan la calidad de
los datos tratados, y como consecuencia de dicha infracción se causaran daños y
perjuicios de cualquier tipo a los afectados, el art. 19 LOPD , en desarrollo
del art. 23 de la Directiva, les reconoce el derecho a ser indemnizados.
OCTAVO.- El
tratamiento de datos de carácter personal relativos al cumplimiento o incumplimiento
de obligaciones dinerarias facilitados por el acreedor 1.- Los datos referidos
al incumplimiento de obligaciones dinerarias, como son los del caso objeto de este
recurso, merecen un tratamiento específico en la ley, por las especiales
características que presentan.
Conforme al art. 29
LOPD podrán tratarse no solo los datos de carácter personal obtenidos de los registros
y las fuentes accesibles al público establecidos al efecto o procedentes de
informaciones facilitadas por el interesado o con su consentimiento (apartado
primero del precepto), sino también los relativos al cumplimiento o
incumplimiento de obligaciones dinerarias facilitados por el acreedor o por
quien actúe por su cuenta o interés, notificándoselo a los interesados cuyos
datos se hayan registrado en ficheros (apartado segundo).
2.- Como regla
general, el tratamiento de los datos de carácter personal requiere el
consentimiento inequívoco del afectado ( art. 6.1 LOPD , 7.a de la Directiva y
8.2 de la Carta de Derechos Fundamentales de la Unión Europea). Como excepción,
dicho tratamiento puede realizarse sin el consentimiento del afectado cuando
ello sea necesario para la satisfacción del interés legítimo perseguido por el
responsable del tratamiento o por el tercero o terceros a los que se comuniquen
los datos, siempre que la ley lo disponga ( art. 6.1 LOPD ) y no prevalezca el
interés o los derechos y libertades fundamentales del interesado (art. 7.f de la
Directiva), lo que encaja en el "otro fundamento legítimo previsto por la
ley", como justificación alternativa al consentimiento de la persona
afectada, previsto en el art. 8.2 de la Carta de Derechos Fundamentales de la
Unión Europea.
La previsión del
art. 29.2 LOPD de que pueden tratarse los datos personales relativos al
cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el
acreedor sin el consentimiento del afectado se acoge a esta excepción.
Por tanto, lo que
permitiría que los datos personales del demandante hubieran sido tratados en un
fichero de los denominados "registros de morosos" (como los ha
denominado esta sala en varias sentencias), esto es, de incumplimiento de
obligaciones dinerarias, con base en la cesión de datos realizada por el
acreedor y sin necesidad del consentimiento del interesado, no es, como se
afirma en la instancia, que su condición de profesional « le sitúa al margen de
la Ley Orgánica de Protección de Datos en cuanto a la necesidad de recabar expresamente
su consentimiento », sino la previsión expresa del art. 29.2 LOPD para este
tipo de ficheros, y la posibilidad excepcional que establece tanto la normativa
convencional internacional y la comunitaria como la propia LOPD de que los
datos personales sean tratados sin consentimiento del interesado cuando
responda a una finalidad legítima prevista en la ley y se respeten los derechos
del interesado.
3.- Si la inclusión
de datos personales en un fichero se hace excepcionalmente sin el
consentimiento del afectado, y si además, por la naturaleza del fichero, la
inclusión en él de los datos personales del afectado puede vulnerar, además del
derecho del art. 18.4 de la Constitución , otros derechos fundamentales y
causar graves daños morales y patrimoniales a los afectados, no pueden
rebajarse las exigencias en cuanto a calidad de los datos ni establecerse
restricciones u obstáculos adicionales de los derechos de información, oposición,
cancelación y rectificación que le reconocen con carácter general el Convenio,
la Directiva y la LOPD, por cuanto que ello supondría restringir de un modo
injustificado el derecho de control sobre los propios datos personales que los
citados preceptos constitucionales, convencionales internacionales y
comunitarios, reconocen a todo ciudadano.
Ningún precepto de
la LOPD establece para este tipo de ficheros sobre incumplimiento de obligaciones
dinerarias excepción alguna a los principios generales sobre calidad de los
datos o a la obligación del responsable del fichero o del tratamiento de
rectificar los datos que no respondan a estos principios.
Tampoco establece
minoración o restricción alguna de los derechos de información, oposición,
cancelación y rectificación del afectado.
Una restricción
injustificada de estos derechos del afectado sería contraria a la regulación
constitucional, convencional internacional y comunitaria del derecho a la
protección de datos personales. La STC 292/2000, de 30 de noviembre, en su
fundamento jurídico, consideró que los poderes de disposición y control sobre los
datos personales, que constituyen parte del contenido del derecho fundamental a
la protección de datos, requieren para
su efectividad que el interesado pueda oponerse a la posesión y uso de sus
datos personales, requiriendo a quien corresponda que ponga fin a la posesión y
empleo de los datos.
Por tanto, no es
posible que reglamentariamente se establezcan restricciones que desnaturalicen
los derechos reconocidos al afectado por la LOPD en desarrollo del art. 18.4 de
la Constitución . Las normas del RPD han de interpretarse de modo que se
respete el derecho fundamental a la protección de datos personales tal como
resulta de su regulación constitucional, convencional internacional,
comunitaria y legal, puesto que las normas reglamentarias deben ser
interpretadas y aplicadas según los preceptos y principios constitucionales,
conforme a la interpretación de los mismos que resulte de las resoluciones
dictadas por el Tribunal Constitucional ( art. 5.1 de la Ley Orgánica del Poder
Judicial ), hasta el punto de que si por vía interpretativa no pudiera lograse
la conformidad de dichas normas reglamentarias con la Constitución, el Convenio,
la Directiva y la LOPD, no podrían ser aplicadas ( art. 6 de la Ley Orgánica
del Poder Judicial ).
4.- Tanto el juzgado como la audiencia han fundado la
absolución de Equifax en el cumplimiento por esta entidad de la normativa
reglamentaria. La audiencia afirma que « la comprobación de la existencia, certeza
y vencimiento de las deudas controvertidas no son de la incumbencia del titular
del registro por exceder lógicamente de sus competencias ».
La sala no comparte
esta tesis. La interpretación de estas normas reglamentarias no puede llevar a
que el responsable del "registro de morosos", esto es, la empresa
titular del fichero común en el que se incluyen los datos sobre incumplimientos
de obligaciones dinerarias procedentes de los ficheros de distintos acreedores,
esté excluido de la obligación de velar por la calidad de los datos, y, por
tanto, de cancelar o rectificar de oficio los que le conste que sean no
pertinentes, inexactos o incompletos. Como responsable
del tratamiento de los datos obrantes en el registro de morosos del que es
titular, le compete atender la solicitud de cancelación o rectificación del
afectado cuando la misma sea suficientemente fundada porque los datos incluidos
en el fichero no respetan las exigencias de calidad derivadas de las normas
reguladoras del derecho. Y por las mismas razones ha de responder de los daños
y perjuicios causados al afectado cuando se hayan incumplido estas obligaciones.
5.- En los
"registros de morosos" regulados por el art. 29.2 LOPD ha de
distinguirse entre los ficheros de los acreedores, que estos forman con base en
los datos sobre incumplimientos contractuales de sus clientes obtenidos de su
propia actividad, y el fichero común del que es responsable la empresa dedicada
a información de solvencia patrimonial, que es el que constituye propiamente el
"registro de morosos", que se forma con los datos comunicados por las
empresas acreedoras y puede ser consultado por las empresas asociadas.
El art. 44.3.1º RPD
prevé que cuando el interesado ejercite sus derechos de rectificación o
cancelación en relación con la inclusión de sus datos en un fichero regulado
por el artículo 29.2 LOPD , si la solicitud se dirige al titular del fichero
común, éste tomará las medidas oportunas para trasladar dicha solicitud a la
entidad que haya facilitado los datos, para que ésta la resuelva, y si no
recibe contestación por parte de esta entidad en el plazo de siete días,
procederá a la rectificación o cancelación cautelar de los mismos.
Esta previsión
reglamentaria no puede interpretarse de modo que cuando el interesado haya
ejercitado sus derechos de rectificación o cancelación de forma motivada y
fundamentada, justificando ante el titular del fichero común el incumplimiento
de los requisitos de calidad de los datos, este no pueda y no deba rectificar o
cancelar los datos no pertinentes, inexactos o incompletos a no ser que así se
lo indique el acreedor que le ha suministrado los datos. Esta interpretación
supondría una restricción injustificada del derecho a la protección de datos
del interesado y es por tanto inatendible. Ha de tenerse en cuenta que el
responsable del fichero común es quien comunica al afectado que sus datos han
sido incluidos en el fichero, notificándole una referencia de tales datos e
informándole de su derecho a recabar información de la totalidad de los datos, por
lo que será frecuente que el derecho de rectificación o cancelación se ejercite
frente al responsable del fichero común, que es el que constituye el
"registro de morosos" y tiene una mayor potencialidad ofensiva pues
puede ser consultado por terceros.
Ciertamente, el acreedor o quien actúe por su cuenta
o interés será responsable de la inexistencia o inexactitud de los datos que
hubiera facilitado para su inclusión en el fichero, en los términos previstos
en la LOPD, pues es él quien razonablemente puede comprobar los requisitos
relativos a la existencia, veracidad y pertinencia de los datos, al ser parte
en la relación contractual en la que se produjo el incumplimiento, y así lo ha
declarado esta sala en su sentencia num. 226/2012, de 9 de abril .
Pero una vez que el interesado ejercita el derecho
de rectificación o cancelación ante el responsable del registro de morosos, si
la reclamación se realiza de manera documentada y justificada, el responsable
de este fichero ha de satisfacer este derecho en los términos previstos en el
art. 16 LOPD . No puede limitarse a trasladar la solicitud al acreedor, para
que este decida, y seguir acríticamente las indicaciones de este, dando una
respuesta estandarizada al afectado al que niega la cancelación que es lo
realizado por Equifax.
No se entendería,
además, qué sentido tiene que el art. 38.3 del Reglamento imponga al acreedor
la obligación de conservar la documentación acreditativa de los requisitos
precisos para incluir los datos del deudor en el registro de morosos, a
disposición no solo de la Agencia Española de Protección de Datos sino también
del responsable del fichero común, si este cumple con dar traslado al acreedor
del derecho de rectificación o cancelación ejercitado por el afectado y puede
mantener los datos en el fichero tan sólo con que el acreedor así se lo
indique, sin estar obligado a valorar la solicitud de cancelación ejercitada y,
en su caso, pedir al acreedor la documentación que soporta la inclusión de los
datos en el registro de morosos para comprobar su pertinencia, suficiencia y
adecuación.
Debe tomarse en consideración que el tratamiento de
datos personales que puede causar daños más graves al interesado no es el
efectuado por el acreedor en su fichero comercial, sino el realizado por la
empresa titular del registro de morosos, cuyo fichero común puede ser
consultado por un número indeterminado de empresas asociadas, con el descrédito
que ello puede suponer para el afectado, provocando la intromisión ilegítima en
su derecho al honor y daños morales y patrimoniales.
6.- La comunicación
en la que el demandante ejercitó su derecho de cancelación de los datos frente a
Equifax, responsable del fichero Asnef, acreditaba de forma razonable y
suficiente que su inclusión en el registro de morosos era improcedente, puesto
que justificaba que había desistido del contrato en virtud de una previsión
contractual que lo permitía, y había actuado diligentemente para pagar la
cantidad adeudada, que era inferior a la que pretendía cargarle Yell, y desde
luego muy inferior a la cantidad que en el registro de morosos de atribuía a la
deuda pendiente.
En tales
circunstancias, no bastaba a Equifax con adoptar una actitud pasiva,
limitándose a pedir a Yell la confirmación de la procedencia de la inclusión de
los datos, y negarse a satisfacer el derecho del interesado a la cancelación de
sus datos tan solo porque el acreedor así se lo manifestara. Debió examinar la solicitud y dar una respuesta con
base en el carácter fundado o no de la misma, solicitando en su caso a Yell que
justificara la confirmación de los datos, no limitándose a ser un mero
transmisor de la solicitud al acreedor.
7.- Debe recordarse
que los datos personales objeto de tratamiento no solo han de ser veraces y exactos,
sino también adecuados y pertinentes. Dado que el art. 29.4 LOPD solo permite
registrar y ceder datos de carácter personal que sean determinantes para enjuiciar
la solvencia económica de los interesados, una deuda que no se paga porque el
supuesto deudor objeta seriamente su procedencia y exigibilidad (y así lo
justifica al ejercitar el derecho de cancelación o rectificación) no es
determinante para enjuiciar la solvencia económica del afectado, incluso aunque
luego se diera la razón al acreedor en la reclamación judicial que pudiera
entablarse, porque la causa del impago no es la insolvencia del deudor sino su
disconformidad con la existencia o exigibilidad de la deuda.
No se trata tanto de
que el responsable del fichero común enjuicie la existencia, certeza y
vencimiento de la deuda como la pertinencia de los datos para enjuiciar la
insolvencia del afectado, a la vista de los términos en que haya sido ejercitado
el derecho de rectificación o de cancelación.
La sentencia de la
Sala 3ª del Tribunal Supremo, Secc. 6ª, de 15 de julio de 2010 , anuló el
apartado 2 del art. 38 RPD, que preveía la no inclusión en el fichero (o la
cancelación si ya estaban incluidos) de los datos personales « sobre los que
exista un principio de prueba que de forma indiciaria contradiga alguno de los
requisitos anteriores ». La sentencia consideró que este inciso del precepto
reglamentario desarrollaba la LOPD « en términos tales que origina una gran
inseguridad jurídica que puede dar lugar a la apertura de expedientes
sancionadores ». Por tanto, la anulación de este inciso del RPD llevada a cabo
por esta sentencia responde exclusivamente a exigencias propias del Derecho
administrativo sancionador.
Pero la reclamación
de responsabilidad civil ante los órganos de la jurisdicción civil no supone la
imposición de una sanción y responde a principios diferentes. Por tanto, a
efectos de exigir responsabilidad civil por infracción del derecho a la
protección de datos y, en su caso, intromisión ilegítima en el derecho al honor
y causación de daños morales y patrimoniales, ha de considerarse que la
aportación por el interesado a los responsables del fichero de una
justificación razonable de falta de pertinencia de los datos incluidos en el
fichero es suficiente para que se dé satisfacción a su derecho a la cancelación
de los datos.
8.- Equifax no es un
mero encargado del tratamiento de datos que actúa por cuenta y bajo las órdenes
de un responsable del fichero, en los términos previstos en el art. 3.g LOPD ,
sin autonomía en la toma de decisiones. Por el contrario, es responsable del
fichero Asnef y del tratamiento de los datos en él incluidos en los términos
previstos en el art. 2.d de la Directiva y 3.d LOPD, y como tal, debió dar
respuesta fundada al legítimo ejercicio del derecho de cancelación por parte
del interesado cuyos datos se habían incluido indebidamente en el fichero de su
responsabilidad.
No es aceptable la
tesis de que el responsable del fichero común carece de disponibilidad sobre
los datos registrados y, por tanto, de responsabilidad. El art. 6.2 de la
Directiva establece que « corresponderá a los responsables del tratamiento
garantizar el cumplimiento de lo dispuesto en el apartado 1 », esto es, que los
datos sean adecuados, pertinentes y no excesivos, que sean exactos y que se
tomen todas las medidas razonables para que los datos inexactos o incompletos
sean suprimidos o rectificados. Y, como declara
la reciente sentencia del Tribunal de Justicia de la Unión Europea de 13 de
mayo de 2014, asunto C 131/12, en su párrafo 77, « el interesado puede dirigir
las solicitudes con arreglo a los artículos 12, letra b ), y 14, párrafo
primero, letra a), de la Directiva 95/46 directamente al responsable del
tratamiento, que debe entonces examinar debidamente su fundamento y, en su
caso, poner fin al tratamiento de los datos controvertidos ».
Como responsable que
es de un fichero de datos automatizado que se forma sin consentimiento de los afectados,
y que por la naturaleza de los datos contenidos en el mismo, puede provocar
serias vulneraciones de derechos fundamentales de los interesados y causarles
graves daños morales y patrimoniales, Equifax ha de dar cumplida satisfacción
al ejercicio por los interesados de los derechos de rectificación y
cancelación, cuando, como en el caso enjuiciado, ello puede realizarse con base
en una solicitud motivada y justificada.
No puede limitarse a
seguir las indicaciones del acreedor que facilitó los datos, ha de realizar su
propia valoración del ejercicio del derecho de rectificación o cancelación
realizado por el afectado, y darle una respuesta fundada.
Lo contrario
implicaría una restricción injustificada del derecho a la protección de datos
de los interesados cuyos datos sean incluidos en un registro de los previstos
en el art. 29.2 LOPD .
Al limitarse a
seguir acríticamente las indicaciones del acreedor y mantener los datos del
demandante en un registro de morosos, pese a la solicitud de cancelación
motivada y justificada que el demandante le envió, Equifax vulneró su derecho
fundamental a la protección de datos, y con ello, participó en la intromisión
en su derecho al honor consecuencia de su indebida inclusión en el registro de
morosos. Ello le hace responsable de tal vulneración junto con Yell, lo que
conlleva su condena solidaria al pago de la indemnización.
9.- Lo expuesto
lleva a la estimación de este motivo y, consecuentemente, a la estimación del
recurso de apelación en cuanto a la revocación del pronunciamiento absolutorio
de Equifax y del consiguiente pronunciamiento condenatorio del demandante en
las costas de primera instancia respecto de dicha entidad, y en las de
apelación".
No hay comentarios :
Publicar un comentario