Multa de un millón de euros a Equifax por la AEPD por publicar un fichero que recoge presuntas deudas de usuarios con la Administración pública
La multinacional con filial en España ha sido multada por la AEPD con un millón de euros y se ha visto obligada a eliminar su Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ), un fichero de morosos creado a raíz de diarios oficiales y que recoge presuntas deudas de usuarios con la Administración pública.
Se han sumado más de 97 reclamaciones de usuarios por la inclusión de sus datos personales sin su consentimiento, por la imposibilidad de contratar créditos o préstamos por estar incluidos en el mencionado fichero de morosos.
La información que incluye el FIJ es extraída del Tablón Edictal Único del BOE (TEU-BOE), de los diarios oficiales de las comunidades autónomas, de los Boletines Provinciales (BOP) y de la sede electrónica o física de organismos de Derecho Público.
La autoridad de protección de datos ha puesto de manifiesto que habría quebrantado o infringido diversos preceptos del RGPD, y esto se debe a que las deudas que se reflejaban en dicho fichero podían llegar a ser inciertas e incluso inexistentes. En este sentido, varios de los perjudicados ya habían saldado sus deudas. Asimismo, el no notificar a los usuarios de su inclusión en tal fichero con el consecuente tratamiento de sus datos con un fin distinto a aquel por el que fueron recogidos.
La AEPD ha prohibido a Equifax continuar el tratamiento de datos que efectúa en el FIJ y le ha impuesto la obligación de suprimir todos los datos personales que han sido asociados a presuntas deudas y que fueron obtenidos por la reclamada de la publicación de anuncios de notificación insertados en el BOE y las distintas publicaciones oficiales. En este sentido, la entidad ya no podrá recoger datos personales de usuarios que aparezcan en los diarios oficiales.
Tratamiento de datos ilícito
Por un lado, se ha visto vulnerado el principio de limitación de finalidad del tratamiento recogido en el artículo 5.1.b del RGPD, que señala que los datos personales serán «recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines«.
El tratamiento actual de los datos personales se considera lícito únicamente cuando el nuevo tratamiento sea compatible con los fines para los que fueron recogidos. Sin embargo, la AEPD confirma que no existe ninguna relación entre la finalidad del tratamiento efectuado a través de las publicaciones en boletines y diarios oficiales que incluyen datos personales de los afectados, que son el interés público conectado con el derecho a la tutela judicial efectiva de los administrados y el ejercicio efectivo por las Administraciones Públicas de las potestades que tienen atribuidas, y el fin para el que Equifax trata los datos, que según la entidad sería la prevención del fraude.
Principio de exactitud y minimización de los datos
Por otro lado, Equifax también habría incumplido el principio de exactitud del tratamiento, recogido en el artículo 5.1.d del RGPD, que exige que los datos sean exactos, y si fuera necesario, actualizados, y se deberán adoptar las medidas que sean razonables para suprimir o rectificar sin dilación los datos personales que sean inexactos con respecto a los fines para los que fueron tratados. Asimismo, el RGPD establece en su artículo 5.1.c que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
En este sentido, la información que recogió la entidad y que fue incluida en el FIJ no se encuentra actualizada ni contrastada con ningún medio fiable que garantice que las deudas son ciertas. Así, más del 25% de los reclamantes ya habían aportado a Equifax documentos que demostraban que en el FIJ se estaba publicando información inexacta asociada a sus datos, por lo que se estaban asociando datos personales a deudas liquidadas.
Deber de informar
Por último, cabe destacar que Equifax incumple la obligación del artículo 14 RGPD de informar a los usuarios de que se están tratando sus datos personales cuando no han sido recogidos de ellos.
Así lo afirma la AEPD: “Basta para ello comparar las cifras proporcionadas: en 2018 las personas cuyos datos eran objeto de tratamiento por el FIJ superaban los cuatro millones y, sin embargo, el número de notificaciones efectuadas ese año no llega a trescientas cuarenta mil«.