Los requisitos para la correcta inscripción en un Fichero de Solvencia Patrimonial y Crédito se regulan en el art. 29 LOPD, desarrollado por los arts. 38 a 44 RDLOPD; así como la Instrucción 1/1995, de 1 de marzo, de la AEPD, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito, que a pesar de la aprobación del RDLOPD, sigue siendo invocada en la fundamentación jurídica de las diversas resoluciones de la AEPD relativas a registros de morosos.
En virtud del art. 29 LOPD el responsable del fichero de información sobre impagados deberá comunicar al afectado la inclusión del dato de morosidad en el plazo de treinta días siguientes a dicha inclusión; dicha inclusión deberá efectuarse cuando exista una deuda cierta, vencida y exigible, que haya resultado impagada y, cuando se haya requerido por el acreedor el pago de la deuda a quien corresponda. El tiempo máximo de permanencia en dichos ficheros es de 6 años sin importar si la deuda pervive o no.
Según la AEPD: “No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga la existencia de esa deuda. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”.
El acreedor deberá informar al deudor, en el momento en que se celebre el contrato que en caso de no producirse el pago los datos relativos al impago deberán ser comunicados a ficheros de este tipo.
El titular de los datos puede solicitar la cancelación de los mismos en caso de pago de la deuda. Esa solicitud puede dirigirla tanto al responsable del fichero de solvencia como a la empresa que haya incluido los datos. Si la solicitud se dirige a aquella, el responsable del fichero deberá trasladar la petición al acreedor, para que resuelva. Si el acreedor no contesta en siete días hábiles, el responsable del fichero de solvencia procederá a cancelar cautelarmente la deuda.
En tres sentencias de 15 de julio de 2010 (RJ 2010, 6271; RJ 2010,6272 y RJ 2011,954), el Tribunal Supremo se ha pronunciado sobre la nulidad de varios preceptos del RDLOPD, para la correcta inclusión de los datos en un registro de información sobre solvencia patrimonial han de cumplirse los siguientes requisitos:
1. Procedencia de los datos. El consentimiento del interesado para el tratamiento de datos personales ha de constar de forma expresa (art. 6.1 LOPD). Probada la emisión del consentimiento, éste sólo tiene efectos durante el tiempo que dura la relación contractual. Por ello, la práctica de facturar servicios tras la solicitud de baja y en caso de impago, incluir en el registro de morosos constituye una práctica doblemente ilegal: ni es válido el consentimiento del interesado para el tratamiento de sus datos, ni existe una deuda cierta, vencida y exigible.
2.Existencia de una deuda cierta, vencida y exigible que haya resultado impagada. Infringe la normativa sobre protección de datos (arts. 4 y 29.4 LOPD, art. 38.1,a RD 1720/2007 y Norma 1 Instrucción 1/1995) la empresa que cede datos del usuario para su inclusión en un fichero de solvencia patrimonial y crédito, cuando la reclamación de pago es infundada cuando el usuario ha comunicado su decisión de causar baja. Se impone al responsable del tratamiento de datos, un especial deber de diligencia al comprobar la exactitud y veracidad de los datos que pretende ceder. Incurre en infracción por vulneración del principio de calidad de los datos (art. 4.3 LOPD) la empresa que facilita datos de clientes para su inclusión en un fichero sobre solvencia patrimonial y crédito sin haber comprobado previamente la existencia real de la deuda (ej. inclusión en registro por falta de pago de servicios facturados tras la solicitud de baja no tramitada o por el impago de facturas anuladas por servicios no prestados).
3.Requerimiento previo de pago. Incurre en infracción por vulneración del principio de calidad de los datos (art. 4.3 LOPD) la empresa que facilita datos de sus clientes para su inclusión en un fichero sobre solvencia patrimonial y crédito sin haber realizado el correspondiente requerimiento de pago.
4.Pertinencia, exactitud y actualidad. Los datos incluidos en el fichero deben recoger una situación actual y cierta. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados. Saldada la deuda o comprobada la inexactitud de los datos, se han de cancelar conforme al procedimiento previsto en el artículo 44 del RDLOPD.
5.Comunicación al interesado. El responsable del fichero de solvencia patrimonial deberá notificar a los interesados respecto de los que hayan registrado datos de carácter personal, en el plazo de 30 días desde dicho registro, una referencia de los que hubiesen sido incluidos, informándole asimismo de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en los términos establecidos por el art. 40 RDLOPD.
La inclusión de una deuda en un fichero de conocimiento generalizado no está exenta del principio de consentimiento por parte de la persona cuyos datos económicos se publicitan, por lo que los datos de solvencia económica para ser lícitamente publicados han de provenir de los propios acreedores, deberán de ser comunicados al presunto deudor, quien tendrá derecho a defenderse de un posible error en esos datos. Error que le puede ser gravemente perjudicial, por razones obvias.
Después del desarrollo anterior se llega a desprender que una cosa es la exigencia de seguridad derivada del Derecho sancionador y otra la exigencia de veracidad de la deuda derivada de la LOPD. Sin perjuicio de la anulación parcial del artículo 38.1.a) RDLOPD, la diligencia exigible a un profesional del tráfico jurídico mercantil obligará al operador reclamado a comprobar lo fundado de la reclamación. Así, no cometerá infracción el acreedor que cede datos sobre una deuda por el solo hecho de existir una reclamación, pero sí podrá ser sancionado por ceder datos erróneos o no veraces por responder a deudas no ciertas, si la resolución final considera inexistente la deuda y en cualquier caso, el usuario reclamante tendrá derecho a exigir la cancelación de los datos por incumplir los requisitos de veracidad exigidos por el art. 4 LOPD.
La presentación de una reclamación no impide per se la inclusión en el fichero de solvencia, pero sí permite cuestionar la certeza de la deuda y por ello ejercer el derecho a la cancelación del dato, en aplicación el principio de calidad de los datos (art. 4.3 LOPD) y la diligencia mínima exigible a cualquier responsable de un fichero o de un tratamiento de datos obligan a éste a no incluir en el fichero los datos sobre una deuda reclamada. De ahí, que la AEPD sancione a aquellos acreedores que conociendo la presentación de una demanda judicial no hayan accedido a la inmediata cancelación de los datos incluidos en un registro de morosos; o por el contrario, haya archivado las actuaciones iniciadas en un procedimiento sancionador en aquellos casos en los que no se ha podido probar que se había notificado al acreedor la demanda o el inicio del procedimiento administrativo ante la SETSI R/00083/2011, de 24-1-2011, archivando actuaciones contra France Telecom España.
– Si de las actuaciones no se derivasen hechos susceptibles de motivar la imputación de infracción alguna, el Director de la Agencia Española de Protección de Datos dictará resolución de archivo que se notificará al investigado y al denunciante, en su caso.
– En caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de una infracción, el Director de la Agencia Española de Protección de Datos dictará acuerdo de inicio de procedimiento sancionador o de infracción de las Administraciones públicas.