¿Puede cualquier entidad revisar la inclusión de una persona en un fichero de morosos? Ciertas empresas, como, por ejemplo, entidades bancarias, financieras, de seguro, operadores de telefonía… tienen legitimación para comprobar si determinadas personas tanto físicas como jurídicas se encuentran incluidas dentro de estas bases de datos. Sin embargo, si una empresa carece de legitimación para hacerlo, puede enfrentarse a sanciones muy elevadas por parte de la Agencia Española de Protección de Datos (en adelante AEPD).
Este es el caso que se contempla dentro de la Resolución de terminación del procedimiento por pago voluntario nº EXP202103933 la cual vamos a analizar en el presente artículo. En ella, se expone la reclamación que interpone un solicitante de empleo ante la AEPD, donde manifiesta que la empresa en la cual remitió su curriculum vitae durante un proceso de selección de personal revisó, antes de llamarle para una entrevista, su situacion de solvencia en un fichero de morosos. La empresa reclamada, después de comprobar dicho aspecto y comprobar que no estaba dentro de ese fichero, procedió a entrevistarle para un puesto como abogado.
Tras lo expuesto, vamos a hacer mención de las estipulaciones que se recogen dentro del artículo 20. 1. e) de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante LOPDGDD) sobre los “Sistemas de información crediticia”:
“1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos:
…e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.”
En la letra e) del artículo mencionado, se exige que quien revise determinados datos referentes a un deudor debe mantener una relación contractual con el afectado que implique determinados supuestos, todos ellos relacionados con la solvencia de este último. La consulta a dicho fichero de solvencia no fue para valorar la situación patrimonial a raíz de una futura relación comercial, de crédito o de pago periódico o aplazado, sino que se hizo, en el marco de un proceso de selección de personal.
Es por ello, que la empresa reclamada no mantuvo con el reclamante ningún tipo de relación contractual al tratarse de una petición del candidato de medidas precontractuales, por lo que las comprobaciones realizadas por la entidad se escapan del ámbito de actuación permitido por el citado artículo.
Tal y como argumenta nuestra autoridad de control en su “Guía sobre protección de datos en las relaciones laborales” y tal y como analizamos en uno de nuestros artículos de Blog Prodat, únicamente cabe solicitar datos relevantes para el desempeño del puesto de trabajo y no información indiscriminada, ya que deben respetarse los principios de minimización y limitación de la finalidad. En este caso, la entidad ni si quiera solicita los datos sobre su solvencia patrimonial al candidato de empleo, sino que realiza una búsqueda sobre el afectado en un fichero de morosos que, de haber sido otro el resultado encontrado por la empresa no coincidente con sus intereses no hubiera tenido oportunidad alguna de realizar la entrevista de trabajo.
La reclamada justifica esta actuación manifestando que en ciertos procedimientos de selección de personal para puestos de gran responsabilidad o para cargos de personas colegiadas es habitual realizar este tipo de comprobaciones en ficheros empresariales. Asimismo, exponen que esta situacion ha sido ocasionada debido a un posible error humano en el momento de revisión en la plataforma Asnef.
En consonancia con el citado artículo 20 de la LOPDGDD, se encuentra el artículo 6 del Reglamento General Europeo de Protección de Datos (en adelante RGPD), en el cual se indican las bases legitimadoras para el tratamiento de datos personales y que, en esta ocasión, ha sido infringido según señala la AEPD en la resolución. En su apartado 1 se detallan los supuestos considerados lícitos para el tratamiento de datos personales:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
- el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
- el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
- el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
- el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
- el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de
poderes públicos conferidos al responsable del tratamiento; - el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
La Agencia argumenta que la documentación obrante en el expediente ofrece indicios evidentes de que la parte reclamada vulneró el articulo 6 RGPD, ya que no consta base legitimadora para el tratamiento de los datos personales de la parte reclamante.
¿Por qué no hay base legitimadora? La AEPD explica que el ya mencionado artículo 20 de la LOPDGDD establece criterios de prevalencia del interés legitimo en el tratamiento de los datos de las personas físicas en los sistemas de información crediticia, sean profesionales liberales, empresarios individuales o no. Sin embargo, en este caso no podría ser el interés legítimo, porque no se cumplen los criterios del artículo 20 LOPDGDD ya que el responsable no indica cual es el interés legitimo ni aporta una ponderación que permita acreditar la prevalencia de dicho interés y tampoco se facilita información al reclamante sobre la posibilidad de este tipo de consultas y menos aún esta persona podría pensar que se fueran a consultar sus datos en este tipo de ficheros para realizar una entrevista de trabajo.
Así las cosas, tampoco consta acreditado que el reclamante y titular de los datos consintiera el tratamiento de éstos, vulnerando así el respeto al principio de licitud de los datos de carácter personal y sin que concurra cualquier otro requisito legitimador dispuesto en el artículo 6 del RGPD.
Por todo lo expuesto, nuestra autoridad de control entiende que se ha producido una infracción del artículo 83.5.a) del RGPD al cual se añaden los agravantes dispuestos en los artículos 83.2.K) RGPD en relación con el artículo 76.2.b) de la LOPDGDD, en palabras de la AEPD: por la evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos personales de candidatos en los procesos de selección, clientes y terceros.
Estas vulneraciones permiten a la Agencia fijar una posible sanción de 70.000 euros. No obstante, y como nos encontramos ante un procedimiento por pago voluntario, la empresa reclamada pudo beneficiarse de las reducciones que le brinda la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, por reconocimiento de responsabilidad dentro del plazo otorgado para la formulación de alegaciones, así como por el pago voluntario de la sanción propuesta. Finalmente, la reclamada hizo frente a la multa por valor de 42.000 euros.
Como conclusión, trayendo a colación el Dictamen 2/2017 sobre el tratamiento de datos en el trabajo del Grupo de Trabajo del Articulo 29, el mismo nos aclara que, en caso de que un empresario pretenda invocar un interés legítimo, la finalidad del tratamiento debe ser legitima; el método elegido o la tecnología específica deben ser necesarios, proporcionados y aplicados de la manera menos intrusiva posible, y el empresario deberá poder demostrar que se han adoptado las medidas adecuadas para garantizar un equilibrio con los derechos y libertades fundamentales de los trabajadores. En el supuesto que hemos analizado a lo largo del artículo, el empresario reviso si el solicitante de empleo a un puesto de abogado estaba incluido en un fichero de morosos con la finalidad de entrevistarle dependiendo del resultado positivo o negativo de esa búsqueda. No hay base legitimadora, que sustente dicha finalidad en el ámbito de selección de personal. Por tanto, las entidades deben ser conscientes de las consecuencias que pueden derivar de acciones como esta.