Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







martes, 7 de septiembre de 2010

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (continuación)




Modificaciones introducidas en el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por las Sentencias de la Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), de fecha 15 de julio de 2010.


Esquema de Trabajo:

La Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), con fecha 15 de julio de 2010 sentenció sobre tres recursos contenciosos administrativos interpuestos en su día contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF), por la FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO, y por EXPERIAN BUREAU DE CREDITO, S.A.

Las tres Sentencias indicadas han dado lugar a las siguientes modificaciones del actual Reglamento de Desarrollo de la Ley Orgánica 15/2007, de 13 de diciembre, de protección de datos de carácter personal:

  • Anulación del Artículo 11
  • Anulación del Artículo 18
  • Anulación parcial del Apartado 1 a), del Artículo 38
  • Anulación del Apartado 2 del Artículo 38
  • Anulación del Apartado 2 del Artículo 123
  • Dejar imprejuzgada la impugnación del Artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.


Artículos anulados y la valoración del Tribunal Supremo

  • Artículo 11 del Reglamento (ANULADO), y que dice:

“Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.”


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

El Artículo 11, en su redacción actual no se acomoda a los Artículos 6 (Consentimiento del afectado) y 11 (Comunicación de datos) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Con este artículo se habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.


Comentario:

Bajo mi criterio este Artículo volverá a estar vigente en un próximo futuro cuando se redacte de nuevo con la fórmula propuesta en su día por el Ministerio de Administraciones Públicas instigadora del mismo, a saber:

“La formulación por medios electrónicos de solicitudes en las que el interesado declare datos personales que obren en poder de las Administraciones públicas conllevará la autorización al órgano destinatario de la solicitud para que verifique la autenticidad de tales datos.”

De esta forma, las solicitudes que se formulen a las Administraciones públicas por medios electrónicos conllevarán implícitas el consentimiento tácito de los ciudadanos para la verificación de los datos contra las bases existentes en las Administraciones.

  • Artículo 18 del Reglamento (ANULADO) y que dice:

“Acreditación del cumplimiento del deber de información.

  1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos afectados.
  2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La disposición reglamentaria del Artículo 18 debe ser anulada porque contraviene la Ley Orgánica 15/1999, de 13 de diciembre, puesto que el legislador ha optado por la libertad de forma para ejercer el deber de informar del Art. 5 de la citada Ley, abriendo por tanto múltiples posibilidades (escrita, verbal, telemática, etc.). La obligación del Artículo 18 se establece - ex novo - y por tanto al margen de la Ley. Podría aceptarse el contenido de este articulo no como obligación sino como mera recomendación - ad cautelan - de una dificultad probatoria futura.
  • Apartado 1 a), del Artículo 38 (ANULACIÓN PARCIAL) y que dice:

“Requisitos para la inclusión de los datos.

  1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a)Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”

El Tribunal Supremo elimina la siguiente frase de la letra a) del apartado 1 del Artículo 38:

“… y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”, por lo que la letra a), en base a esta Sentencia tendría la siguiente redacción:


a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación parcial

El Apartado 1.a) del Artículo 38 no responde a la previsión legal del Artículo 4.3. (Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado) , en atención a la defectuosa redacción del precepto reglamentario por una inconcreción en su texto no solo de aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos de refieren, sino también porque esa vaguedad permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero.

La aplicación de la norma anulada puede producir efectos adversos al permitir evitar la inclusión del dato relativo a la deuda en los ficheros de solvencia patrimonial, de la misma forma que cuando se incluye en un fichero de esa naturaleza la existencia de una deuda inexistente, no vencida o inexigible, lo que iría en contra del Artículo 4.3. de la Ley 15/1999 antes señalado, y del Artículo 6.1.d) de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 13 de abril de 2008, relativa a los contratos de crédito al consumo, que exige que los datos sean exactos y, cuando sea necesario, actualizados, así como que se tomen todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueran recogidos o para los que fueron tratados posteriormente, sean suprimidos o ratificados.

No es posible sostener con éxito que, en aquellos casos en que se hubiera entablado con respecto a la deuda un procedimiento de los expresados en el artículo 1.a), puede hablarse de una deuda cierta antes de que recaiga resolución firme o se emita el informe correspondiente, en los supuestos previstos en el Reglamento de los Comisionados para la defensa del cliente de los servicios financieros aprobado por Real Decreto 303/2004, de 20 de febrero, aprobado en desarrollo de la Ley 44/2002, de 22 de noviembre, de Reforma del Sistema Financiero.

Esta redacción defectuosa permite la existencia de un conflicto de intereses que debe resolverse a la luz de la doctrina constitucional, exigiendo una mayor concreción en el precepto reglamentario que pondere los intereses en presencia en atención a las circunstancias concretas.
  • Apartado 2 del Artículo 38 (ANULADO) y que dice:

“No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.
Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”


Los requisitos anteriores a los que se refiere este apartado son los siguientes:

  • El apartado 1.a) anteriormente referenciado y que ha sido anulado parcialmente por la sentencia.
  • El apartado 1 b) que dice lo siguiente: “Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
  • El apartado 1 c) que dice lo siguiente: “Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.”


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La norma, sin duda, quiere responder al principio de calidad de datos, y no tipifica <> ninguna infracción. Lo que hace es trasladar la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, pero ha de reconocerse que lo hace en términos tales que origina una gran inseguridad jurídica, que puede dar lugar a la apertura de expedientes sancionadores.

Por ello ha de concluirse que no es conforme a derecho.

Cierto es que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos, y y valga al respecto la cita de la sentencia de la Sala de lo Civil de este Tribunal de 16 de septiembre de 1996, que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero ha de reconocerse que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.


Redacción final del Artículo 38 tras las anulaciones efectuadas por el Tribunal Supremo:


“Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada. (anulación parcial de texto)

b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.

c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. ANULADO

3. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos, documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente.


  • Apartado 2 del Artículo 123 (ANULADO) y que dice:

“Personal competente para la realización de las actuaciones previa.

  1. Las actuaciones previas serán llevadas a cabo por el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.
  2. En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.
  3. Los funcionarios que ejerzan la inspección a los que se refieren los dos apartados anteriores tendrán la consideración de autoridad pública en el desempeño de sus cometidos.Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.”


Queda, por tanto anulado el apartado 2 del Artículo, teniendo sólo la condición de Autoridad en el desempeño de sus cometidos el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

No se contempla la facultad que al Director de la Agencia concede el precepto reglamentario, ni en ningún otro artículo de la misma y la mención en el precepto reglamentario a “supuestos excepcionales”, por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.
  • La cuestión prejudicial del artículo 10.2 a) y b)

Las Sentencias a los recursos plateados sobre esta cuestión por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF) y la FEDERACIÓN DE CONSUMO ELECTRÓNICO Y MARKETING DIRECTO, dejan imprejuzgada la impugnación del artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Hasta el pronunciamiento del Tribunal de Justicia de las Comunidades Europeas, resulta de interés puntualizar los argumentos esgrimidos por el Tribunal Supremo para tomar esta decisión, y que, sin duda, van a pesar a partir de ahora en cualquier interpretación que se haga sobre los artículos mencionados.


Punto a) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.

“Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas."


Punto b) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.


“Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizados para ello por una norma con rango de ley.”


Planteamientos del Tribunal Supremo al Tribunal de Justicia de las Comunidades Europeas

  1. ¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?
  2. ¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?


La Directiva 95/46/CE aspira a una armonización completa de las legislaciones nacionales, al tiempo que quiere establecer un equilibrio entre los dos pilares sobre los que pivota su regulación: la libre circulación entre los Estados miembros de los datos de carácter personal sin merma alguna de los derechos y libertades fundamentales del interesado, lo que se reconoce en el punto a) del Apartado 2 del Artículo 10 reglamentario.

El derecho español añade al interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está en la mencionada Directiva a juicio de los demandantes: que los datos consten en fuentes accesibles al público.

Se depende, por tanto, de la interpretación que el Tribunal dé al artículo 7, letra f) de la Directiva 95/46/CE, la posible solución de litigio planteado, toda vez que el legislador español ha cerrado el listado de las fuentes accesibles al público que para otros Estados son más amplias, lo que afecta a la armonización pretendida por la Directiva.

Si el Tribunal concluye que nada impide que los Estados miembros exijan, además de la concurrencia del repetido interés, la presencia de los datos en fuentes accesibles al público, habrá que concluir que la Ley española y el Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico de la Unión.

Si, por el contrario, es criterio del Tribunal de Justicia que nos les cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia, debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo 7, apartado ñ) efecto directo, la previsión legislativa interna, quedando huérfano de cobertura el artículo 10, apartado 2, letra b) del real Decreto 1720/2007.



Fabián Zambrano Viedma
Responsable del Servicio

viernes, 3 de septiembre de 2010

SERVICIO PARA LAS EVIDENCIAS ELECTRÓNICAS FINANCIERAS (SEVEF)



Dentro del Servicio de Prevención del Fraude de ASNEF hemos puesto en funcionamiento un Servicio para las Evidencias Electrónicas Financieras (SEVEF), que tiene como objetivo apoyar a nuestras entidades en la lucha contra la ciberdelincuencia que ataca al Sector Financiero a través de los servicios que éste ofrece a sus clientes a través de Internet.

Este Servicio colabora con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), con el que la Asociación Nacional de Establecimientos Financieros de Crédito tiene firmado un Convenio de Colaboración para potenciar la seguridad y la e-confianza en las nuevas tecnologías de la información y la comunicación.

El Servicio para las Evidencias Electrónicas Financieras (SEVEF), será el nexo de colaborción operativa entre las entidades financieras integradas en la Comisión para la Prevención del Fraude de ASNEF y el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y los Proveedores de Seguridad que colaboran con nuestra Asociación.

Entre los instrumentos que ha puesto en funcionamiento INTECO y en cuyo desarrollo hemos colaborado desde la Asociación a través del Proyecto SEVEF, está el REPOSITORIO DE FRAUDE DE INTECO, que ya está creando inteligencia sobre el fraude electrónico y sobre los ataques que la ciberdelincuencia realiza contra nuestras plataformas tecnológicas de banca "on line" o de comercialización de productos financieros.

Este REPOSITORIO, del que adjunto información a través del correspondiente enlace, es un ejemplo de la colaboración que puede darse entre las iniciativas pública y privada y una forma operativa con la que las entidades financieras pueden ayudar para facilitar el trabajo de investigación de las Unidades de Investigación Tecnológica de los Cuerpos Policiales centrales y autonómicos.

Este Blog difundirá a partir de ahora también la cultura de la seguridad informática y dará a conocer las iniciativas y la colaboración  con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), en favor de la seguridad informática y de la e-confianza de los Ciudadanos hacia las nuevas Tecnologías de la Información y la Comunicación (TIC).

Como este Blog y los restantes editados por De-fensa están siendo cada vez más visitados por especialistas de prevención del fraude y prevención del blanqueo de capitales, vamos a difundir también a través de los mismos las estadísticas mensuales de fraude electrónico de INTECO-CERT, lo que servirá para un mejor conocimiento del trabajo de seguridad que nos ofrece el Instituto y potenciar así la colaboración entre el Sector Financiero y los Ciudadanos, con el Instituto.

INTECO tiene creada la OFICINA DE SEGURIDAD DEL INTERNAUTA (OSI), orientada a los usuarios finales con escasos conocimientos técnicos en materia de seguridad, que puede ser muy útil para muchos de nuestros clientes, e INTECO-CERT, Centro de Respuesta a Incidentes de Seguridad, enfocado a profesionales y que está a disposición de nuestras entidades, portales que animo a visitar no sólo por la magnífica información que contienen, sino también por las herramientas que están a disposición de los ciudadanos y de las empresas.

Las entidades financieras que estén interesadas en recibir una información personalizada sobre el REPOSITORIO DE FRAUDE DE INTECO, pueden remitirme un correo electrónico a spfraude@asnef.com, que yo reportaré a INTECO para que el Instituto contacte directamente con ellas.


Fabián Zambrano Viedma
Responsable del Servicio



viernes, 30 de julio de 2010

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL



Recientemente se han publicado las Sentencias del Tribunal Supremo de fecha 15 de julio de 2010, que tienen un gran interés jurídico y que por tanto resultan de obligado estudio para los interesados en la materia de protección de datos de carácter personal:



Como adelanto a ese estudio, que ya están realizando los especialistas del derecho, y en relación con la primera de las sentencias, hay que indicar que el Tribunal Supremo estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38.2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Además de lo anterior, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.


Los aspectos más importantes de la Sentencia sobre los aspectos impugnados son los siguientes:

  • Artículo 5. Definiciones. Del apartado 1.q), el inciso <>.
La Sentencia recoge que no hay razón para apreciar la nulidad del precepto reglamentario ni para el planteamiento de cuestión prejudicial, pues la frase “aunque no lo realizase materialmente” no supone una ampliación de las personas responsables.

  • Artículo 8. Principios relativos a la calidad de los datos, en el párrafo 3º de su apartado 5.
Tampoco se aprecia razón para la nulidad de dicho precepto.

  • Artículo 10. Supuestos que legitiman el tratamiento o cesión de los datos, en los apartados 2.a), supuesto primero, y 2.b), párrafo primero.
El Tribunal Supremo ha acordado suspender única y exclusivamente el procedimiento respecto de la impugnación del artículo 10, apartados 2. a) y b) del Reglamento de la Ley Orgánica de Protección de Datos, hasta la resolución del incidente prejudicial planteado y dictar sentencia con relación a los demás artículos impugnados y plantear al Tribunal de Justicia de las Comunidades Europeas las cuestiones prejudiciales.

Este precepto es el único de los impugnados que ofrece dudas al Tribunal sobre su adecuación a la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

  • Artículo 11. Verificación de datos en solicitudes formuladas a las Administraciones Públicas.
Este precepto fue objeto de impugnación al considerar que habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.

La impugnación del artículo 11 del Reglamento ha sido estimada.

  • Artículo 12. Principios generales, en su apartado 2.
Este precepto fue impugnado al considerar que infringía el artículo 11.3 de la Ley Orgánica 15/1999, pues la utilización en el precepto reglamentario de la conjunción acumulativa “y” en lugar de la disyuntiva “o” empleada en el de la Ley, altera el contenido de este último.

El Tribunal ha considerado que una y otra norma coinciden en las prevenciones que contienen y que, en consecuencia, la impugnación ha de desestimarse.

  • Artículo 13. Consentimiento para el tratamiento de datos de menores de edad, en su apartado 4.
La Sentencia recoge que la comprobación de la edad del menor puede presentarse en ocasiones como difícil, pero ello no debe de servir de excusa para la adopción de las medidas de garantía adecuadas que, en definitiva, es lo único que exige el precepto reglamentario impugnado, razón esta última que impide considerar la exigencia que previene como desproporcionada, cuando afecta o incide en un ámbito especialmente sensible.

  • Artículo 18. Acreditación del cumplimiento del deber de información. En el inciso final de su apartado 1 y en su apartado 2.
La Sentencia recoge, contrariamente a lo que sostiene el Abogado del Estado, que dicho precepto no se limita a poner de manifiesto que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Lo que en realidad establece es la obligación de que la prueba de ese efectivo cumplimiento conste documentalmente o por medios informáticos o telemáticos.

La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.). En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma y por ello esta disposición reglamentaria contraviene la Ley y por ello debe ser anulada.

  • Artículo 21. Posibilidad de subcontratación de los servicios. En su apartado 2.a).
No ha sido acogida la impugnación de este apartado, pues si el responsable del tratamiento, de conformidad con el artículo 17.2 de la Directiva, debe elegir un encargado del tratamiento que ofrezca garantías suficientes en relación con las medidas de seguridad técnica y de organización de los tratamientos que deben efectuarse, y asegurarse que se cumplen dichas medidas, y si de conformidad con el apartado 3 del indicado artículo el encargado del tratamiento solo actúa siguiendo instrucciones del responsable del tratamiento, no se puede negar capacidad de disposición a éste en supuestos de subcontratación.

La posibilidad de que el responsable del tratamiento pueda controlar el mercado de servicios de tratamiento, bien mediante el veto de una o varias empresas, bien mediante la manifestación de preferencia por alguna o algunas, por constituir una mera hipótesis, necesariamente debe ceder ante una previsión reglamentaria específica pero con cobertura. Otra cosa es que ya en el terreno de la realidad deban corregirse por quien corresponda prácticas restrictivas de la competencia.

  • Artículo 23. Carácter personalísimo, en su apartado 2.c).
Tampoco se acoge la impugnación, pues la Sentencia recoge que un derecho de carácter personalísimo puede ejercitarse por medio de un representante voluntario.

  • Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, el inciso final del párrafo 1º del artículo 24.3 y el párrafo 2º del mismo artículo.
También se desestima esta impugnación y se indica que el concepto de “ingreso adicional” está referido a aquellos ingresos que pudieran proceder del interesado. Otros ingresos que no procedan del afectado no se contemplan en este artículo.

  • Enunciado de la Sección 2ª, del Capítulo I del Título IV, en cuanto se refiere también al <> de obligaciones dinerarias.
El recurso recogía la ilegalidad del término "cumplimiento", en cuanto a hacer referencia a los llamados ficheros positivos o de solvencia y no regularlos en los artículos integradores de la Sección (artículos 38 a 44). La impugnación fracasa porque el epígrafe de la Sección, al carecer de efectos normativos, no puede ser impugnado.

No obstante, no se discute por el Tribunal la relevancia de los ficheros de carácter positivo o de solvencia y afirma que la omisión reglamentaria no supone una prohibición de los ficheros positivos. Dichos ficheros solo resultan admisibles con el consentimiento del afectado.

  •  Artículo 38. Requisitos para la inclusión de los datos, en sus apartados 1.a) (en el inciso <>) y b) (en el inciso <>), 2 y 3.
Se estima la impugnación del artículo 38.1.a) en el sentido de eliminar del mismo la frase "... y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero".

Igualmente se estima la impugnación del apartado 2 del artículo 38 pues, si bien es cierto que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero reconoce que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.

La impugnación del apartado 1.b) ha sido rechazada, al igual que la del apartado 3.

  • Artículo 39. Información previa a la inclusión, en el inciso <>.
El recurso presentado argumentaba que el precepto imponía al acreedor un deber no previsto en la Ley Orgánica 15/1999, pero no ha sido estimada su impugnación.

  • Artículo 40. Notificación de inclusión, en su apartado 2.
No se admite la impugnación de este apartado, y se indica que la notificación de las deudas individualizadas, aunque sean varias, pueden ser realizadas en un solo acto.

  • Artículo 41. Conservación de los datos, en el párrafo segundo del apartado 1 y en el apartado 2 (en el inciso <>).
La Sentencia recoge que nada cabe objetar en este caso al encontrarse en absoluta armonía con el principio de calidad de datos.

Añade la Sentencia que la frase "cancelación de todo dato" empleada en el apartado 1, párrafo primero, quiere alejar toda duda sobre la posibilidad de conservar el llamado <>, dando una respuesta negativa, pero también reconoce que tal respuesta está en concordancia con el artículo 29.4 de la Ley que exige que los datos respondan con "veracidad" a la situación "actual", requisito el de la actualidad que no se cumpliría con una referencia al pasado en el que no se estuvo al corriente en pago de deudas u obligaciones.

  • Artículo 42. Acceso a la información contenida en el fichero, en su apartado 2, inciso <> del párrafo primero y todo el párrafo segundo.
Se rechaza la impugnación al interpretar el precepto reglamentario desde el punto de vista de que la escritura comprende otras formas distintas a la concepción tradicional de la escritura, como son aquellos que tienen un soporte electrónico.

  • Artículo 44. Ejercicio de los derechos de acceso, rectificación, cancelación y oposición, en su apartado 3, 1ª, en el inciso <>.
Se rechaza la impugnación, pues entiende que no se puede equiparar el plazo de diez días para que el responsable del tratamiento haga efectivo el derecho de rectificación o cancelación, con el de siete días que la disposición reglamentaria contempla como máximo para que el cesionario de los datos dé contestación a la solicitud de rectificación o cancelación, y cuyo incumplimiento origina el deber por parte del responsable del fichero común de proceder cautelarmente.

  • Artículos 45.1.b), 46.2. b) y c) y 3, 47 y 49.1 y 4.
Estos artículos son relativos a los tratamientos para actividades de publicidad y prospección comercial.

El Tribunal ha considerado que la Asociación carece de legitimación para impugnar estos artículos pues, al agrupar empresas del sector financiero, se requiere para apreciar la legitimación que actúe en representación y defensa de los intereses empresariales o profesionales de sus asociados y esto no ocurre al impugnar unos preceptos reglamentarios que se refieren a una actividad distinta de la que la caracteriza.

  • Artículo 69. Suspensión temporal de las transferencias, en su apartado 1.b) (inciso <>).
Se desestima la impugnación, pues el precepto reglamentario contempla a un Estado que por su normativa no garantiza el nivel de protección que concede la Ley Orgánica y que hay razones suficientes para creer que las autoridades competentes de dicho Estado no han adoptado o no están dispuestas a adoptar las medidas pertinentes.

  • Artículo 70. Transferencias sujetas a autorización del Director de la Agencia Española de Protección de datos, en su apartado 3. letras c) (inciso <>), d (inciso <>) y d).
Tampoco es acogida la impugnación en este caso y se remite a los mismos argumentos expresados sobre el artículo 69.1.b).

  • Artículo 123. Personal competente para la realización de las actuaciones previas, en su apartado 2, inciso <>.
Sí se estima la impugnación en este caso al entender que ni los artículos 35, 37 y 40 de la Ley Orgánica, ni ningún otro artículo de la misma, contempla la facultad que al Director de la Agencia concede el precepto reglamentario. La mención en el precepto reglamentario a "supuestos excepcionales", por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.

  • Disposición adicional única.
La impugnación se desestima, pues se interpreta que no impone a los responsables y encargados de los ficheros y tratamientos la utilización de un producto de determinadas características, en cuanto que lo único que exige es que se describan las características técnicas del producto para que el adquirente pueda conocer el nivel de seguridad.




CONCLUSIÓN


Como conclusión de todo lo anterior, la Sentencia estima en parte y anula, por disconformes a derecho, los artículos 11, 18, 38. 2, y 123.2 de la disposición reglamentaria, así como la frase del artículo 38.1.a) que dice así: "... y al respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero". Por otra parte, la Sentencia deja imprejuzgada la impugnación del artículo 10.2. a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.


Información provisional recogida del
Servicio Jurídico de la Asociación

miércoles, 7 de julio de 2010

GENERALIDADES BÁSICAS SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

Constituye un derecho fundamental de los Ciudadanos el control de sus propios datos de carácter personal, por lo que se exige su consentimiento para cualquier uso que terceras personas quisieran hacer de los mismos, con excepción de algunos supuestos perfectamente tasados y regulados por las Leyes.

Reconocido este principio básico, hemos de aceptar también que una gran parte de las actividades sociales y económicas descansan sobre los datos personales del conjunto de los Ciudadanos que deciden participar en las mismas.

El concepto de dato personal es muy amplio y abarca entre otros, el nombre, los apellidos, la filiación, la fecha de nacimiento, el domicilio y cualquier otro dato que permita la identificación de forma directa o indirecta, tal como sucede con el número de identidad, número de identificación fiscal, número de identificación de la Seguridad Social, matrículas de vehículos, teléfonos, direcciones de correo electrónico, personalizadas o no, direcciones IP, claves de acceso, etc.

El anterior listado no es exhaustivo, por lo que también tienen la consideración de datos personales otros que no se expresan mediante caracteres alfanuméricos, como por ejemplo las fotografías, el ADN, las huellas digitales, la voz, el iris, etc.

Si gran parte de la actividad social y económica descansa sobre los datos personales de sus intervinientes, y el control sobre los datos personales constituye un derecho fundamental de sus Titulares, la posesión por terceros de esta información debe estar regulada para que puedan garantizarse los derechos de sus propietarios, especialmente frente a las nuevas tecnologías de la información y la comunicación que, como sabemos, permiten el archivo, la ordenación y el intercambio de millones de datos de una forma fácil y ágil.

La garantía de los derechos de los Titulares de los Datos de Carácter Personal descansa en las Leyes establecidas al efecto por cada País y en la Normativa Internacional. Concretamente en España existe legislación sobre protección de datos en el ámbito central y autonómico, tanto de forma directa como referenciada en otras Leyes.




En España, la Autoridad independiente que se encarga en el ámbito estatal de garantizar el cumplimiento de la legislación sobre protección de datos es la:




Una vez concienciados de la existencia de este derecho y conocido el Sistema de control existente, tenemos que aprender a operar con naturalidad y tranquilidad con los datos de carácter personal que necesitemos para nuestro trabajo, sin ninguna clase de complejos, cumpliendo en todo momento con los requerimientos normativos. Y este objetivo lo podremos conseguir formándonos en esta materia, puesto que en la formación descansa la seguridad de su uso.

Los Ciudadanos que quieran participar en la actividad económica y financiera, deberán facilitar a las empresas, de forma voluntaria, aquellos datos personales que éstas consideren necesarios para el funcionamiento de su actividad.

Igualmente, si las entidades lo consideran necesario, los Ciudadanos también deberán firmar, en el momento de la solicitud de las operaciones, una CLÁUSULA DE CONSENTIMIENTO, en la que autoricen a las empresas a realizar todas aquellas gestiones que consideren necesarias para la comprobación de su identidad y para el análisis de los riesgos derivados de las operaciones que quieran contratar, especificando en dicha cláusula los ficheros externos a los que se va a acceder, el tratamiento que se va a hacer con los datos de carácter personal que se recaban, y las cesiones que se harán de los mismos en el caso de que se comprueben incongruentes o inveraces. Igualmente en el momento de la solicitud podrá recabarse la autorización para el tratamiento de los datos a través de plataformas de información positiva, puesto que en estas herramientas va a radicar en el próximo futuro una gran parte del análisis de riesgos.

La obtención de la CLAUSULA DE CONSENTIMIENTO es una decisión estratégica que debería ser asumida de inmediato por la totalidad del sector financiero (muchas entidades la han asumido ya), para trabajar de una forma eficiente en el conocimiento de los clientes y en el análisis de los riesgos, actividades éstas para las que resulta necesario apoyarse también en la colaboración y en la inteligencia compartida.

Obtenido el CONSENTIMIENTO en los términos señalados, sólo quedaría trabajar con los datos con naturalidad, tal como he indicado en párrafos anteriores, respetando los límites establecidos por el Titular de los mismos y que estarán expresados en la autorización recibida de éste.

Obtenidos los datos de carácter personal y el consentimiento necesario para su uso, sólo queda a las entidades responsabilizarse de su gestión y control mediante procedimientos eficientes.

Para una gestión eficiente de toda esta información de carácter personal, resulta necesario un tratamiento informatizado o manual, lo que obliga a las entidades a cumplir con una serie de obligaciones que están recogidas en la legislación sobre protección de datos de carácter personal.


Estas obligaciones las voy a esquematizar en la siguiente relación:



  • OBLIGACIÓN DE NOTIFICACIÓN (que es la comunicación que tiene que efectuar la empresa al Registro General de Protección de Datos, sobre la creación, modificación o supresión de cualquier fichero de datos, o del tratamiento no informatizado que vaya a realizar con los mismos.)

  • OBLIGACIÓN DE INFORMACIÓN (a los Titulares de los datos, en el momento de la recogida, sobre lo que pretende hacer la empresa con los mismos, con el fin de que los Ciudadanos puedan prestar libremente su consentimiento.)

  • OBLIGACIÓN DE AUTOLIMITACIÓN EN LA RECOGIDA DE LOS DATOS (sólo se deben recoger aquellos datos que sean adecuados, pertinentes y no excesivos en relación con la finalidad para los que son precisos. Las entidades, por tanto, deberán poder justificar ante la AEPD este extremo, por lo que no resulta oportuno obtener datos sin este criterio de racionalidad.)

  • OBLIGACIÓN DE GARANTIZAR LA SEGURIDAD DE LOS DATOS (para impedir cualquier alteración, pérdida, tratamiento o acceso no autorizado.)

  • OBLIGACIÓN DE CONSERVAR LOS DATOS SÓLO POR EL TIEMPO NECESARIO (las entidades deberán cancelar los datos cuando hayan cumplido con la finalidad para la que fueron recogidos.)

  • OBLIGACIÓN DE FACILITAR EL EJERCICIO DE SUS DERECHOS A LOS TITULARES DE LOS MISMOS (derecho de acceso, derecho de rectificación, derecho de cancelación y derecho de oposición que analizaremos posteriormente con más detalle.)

  • OBLIGACIÓN DE LA EXACTITUD EN LOS DATOS (el Responsable de su gestión y control debe mantenerlos actualizados con el fin de que respondan a la situación real de su Titular. Este incumplimiento es una de las causas que originan las sanciones más graves impuestas por la Agencia.)

  • OBLIGACIÓN DE RESPETAR LAS EXIGENCIAS LEGALES EN LOS DENOMINADOS DATOS SENSIBLES (determinados datos sensibles no pueden ser tratados ni almacenados en Ficheros. Existen excepciones a esta negativa que están muy tasadas por la norma y que requieren consentimiento expreso y por escrito del Titular de los datos. Se consideran datos sensibles los referidos a la salud, la vida sexual, el origen racial, la ideología, las creencias, la religión y la afiliación sindical.)

  • OBLIGACIÓN DE TRATAR LOS DATOS DE UNA MANERA LEAL Y LÍCITA (principio que no necesita comentarios.)
La Ley considera Responsable de un Fichero o Tratamiento al que decide sobre la finalidad, contenido y uso del Fichero o Tratamiento de datos personales. Puede ser por tanto, una persona física, una persona jurídica o un órgano administrativo. En nuestro caso, cada una de nuestras entidades será la Responsable de los ficheros creados para su uso interno.

Para los ficheros de información comunes, serán Responsables las Instituciones o empresas que los pongan en funcionamiento.

Ficheros sin consentimiento:

Nuestras entidades podrán crear ficheros o efectuar tratamientos de datos que figuren en fuentes públicas legales, siempre que su almacenamiento o tratamiento sean necesarios para sus intereses legítimos.

Este tipo de ficheros también pueden crearse por Terceros, como un servicio comercializable para clientes con interés legítimo en esta información.

Para este tipo de Ficheros también se exige la obligación de notificación a la AEPD, aunque no requieran el consentimiento de los titulares de los datos.

A modo de resumen voy a enumerar los casos en los que se pueden archivar y tratar datos:


  1. Cuando se tenga el consentimiento del Titular.

  2. Cuando una Ley habilite para hacer este tratamiento sin consentimiento.

  3. Cuando una administración pública los necesite para cumplir con las obligaciones de su competencia.

  4. Cuando sean necesarios para el mantenimiento o cumplimiento de una relación social, laboral, administrativa o de negocio.

  5. Cuando sean necesarios para proteger el interés vital del Titular o de un Tercero y haya una incapacidad para la obtención del consentimiento.

  6. Cuando procedan de fuentes accesibles al público y resulten necesarios para una finalidad lícita.
Los derechos de los Titulares

Anteriormente he enumerado las obligaciones que asume el Responsable de cualquier Fichero.

Seguidamente haré un glosario-recordatorio con la totalidad de los derechos que tienen los Titulares de los datos, que casan perfectamente con las obligaciones de los Responsables de los Ficheros y de los Cesionarios de los datos:

  • Derecho de Información: ya explicado al hablar de la Obligación. (Art. 5 de la LOPD)
  • Derecho de Consulta a la Agencia para conocer la existencia de los Ficheros y Tratamientos de Datos y para identificar a sus Responsables. Este derecho es la consecuencia de la obligación de notificación. El conocimiento de la existencia de los ficheros no sólo resulta necesario para el control de la AEPD, sino para facilitar el ejercicio de este derecho a los Titulares. (Art. 14 de la LOPD)
  • Derecho de Acceso de los Titulares al Responsable del Fichero para conocer si sus datos de carácter personal están en su Fichero, la naturaleza, origen, destinatarios y si se han producido transferencias internacionales de los mismos. Existen Ficheros que por disposición legal están excluidos de este derecho, como por ejemplo los ficheros que se creen para la prevención del blanqueo de capitales y de la financiación del terrorismo. (Art. 15 de la LOPD)
  •  Derecho de Rectificación, cuando el Titular, una vez ejercido el derecho de acceso, estima que cualquier dato incluido en el Fichero es erróneo. (Art. 16 de la LOPD)
  •  Derecho de Cancelación, en caso de que el Titular, una vez ejercido el derecho de acceso, estime alguna inexactitud o tratamiento ilegal. (Art. 16 de la LOPD)
  • Derecho de Oposición, o negativa a figurar en un fichero por motivo legítimo y fundado, o al tratamiento de sus datos personales. ( Art. 6.4, 17 y 30.4 de la LOPD)
  • Derecho a la Tutela por parte de la AEPD, para garantizar el ejercicio efectivo de los derechos anteriormente referenciados a los Titular de los datos. (Art. 18 de la LOPD)

Obligaciones de los Responsables de los Ficheros o Tratamientos, en relación con estos derechos

Respecto al Derecho de Información

Las entidades están obligadas a cumplir con este derecho en el momento de la recogida de los datos, informando a los Titulares, por cualquier medio que consideren adecuado, sobre los siguientes extremos:

  • La identificación del Fichero en el que serán depositados estos datos.
  • La identificación del Responsable de mismo.
  • La finalidad del Fichero.
  • Destinatarios de la información.
  • Si se va a dar algún tratamiento a los datos
  • El ofrecimiento del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Si en la recogida de los datos se informase al Titular de que éstos podrán ser cedidos fuera de la entidad por algún motivo tasado, cuando se produzca la primera cesión de los mismos se le deberá informar de este hecho por quien corresponda (cedente o cesionario) y de la identidad del cesionario.

Respecto al Derecho de Consulta

Sólo indicar respecto a este Derecho, que está íntimamente relacionado con la Obligación de Notificación a la AEPD. La Notificación la hará el Responsable del Fichero en la forma establecida por la Agencia. No es objeto de este trabajo la forma en que los ciudadanos pueden ejercitar este Derecho.

Respecto al Derecho de Acceso

Cada entidad deberá tener montada la infraestructura necesaria para cumplir con el ejercicio de este Derecho, y utilizará para ello los medios que considere adecuados: escrito, copia, fotocopia, fax, consulta en pantalla, etc.

Sólo hay una exigencia: que el sistema de consulta que se establezca sea gratuito e inteligible para el Ciudadano.

La contestación del Responsable del Fichero al ejercicio de este derecho es obligatoria, y si no es inmediata por la utilización de procedimientos informáticos que así lo permitan, el plazo para la contestación será como máximo de un mes desde la fecha de recepción de la solicitud.

La contestación ha de hacerse, aún en el caso de que no existan datos en el Fichero. (Es importante cumplir con este extremo.)

Si la entidad no se quiere tener problemas con la Agencia, ha de poder acreditar de alguna forma que ha efectuado la contestación.

Este derecho puede ser ejercido cada doce meses. Si el solicitante acredita un interés legítimo, podrá ejercitarlo en un plazo inferior.

Este derecho puede ser ejercitado directamente por el Titular de los datos o por un Representante del mismo.

El ejercicio de este derecho por parte del Ciudadano o su Representante, está sometido a los siguientes requisitos formales:

  • Escrito o comunicación realizada a través de los medios electrónicos habilitados específicamente para esta finalidad por la entidad, que deberá estar firmado manual o electrónicamente, dependiendo del sistema habilitado por la empresa, o refrendado con las claves de acceso suministradas por la entidad para el ejercicio del derecho.
  • En el escrito o comunicación deberá quedar reflejada la fecha y el domicilio del Titular a efectos de la contestación que debe hacer el Responsable del Fichero.
  • Se deberá aportar fotocopia del DNI, Tarjeta de Extranjero o cualquier otro documento que acredite la identidad y sea admitido en derecho.
  • Si el ejercicio del derecho lo realiza un Representante del Titular, éste tendrá que añadir a los requisitos anteriores, la identificación del Representante, así como el documento que acredite la representación.
Respecto al Derecho de Rectificación

Con el mismo procedimiento habilitado por la entidad para el ejercicio del Derecho de acceso, el Titular de los datos o su Representante podrá ejercer el Derecho de Rectificación ante el Responsable del Fichero, para lo que deberá comunicarle el dato erróneo, así como la corrección que deba realizarse, acompañando la justificación de la rectificación solicitada.

El Responsable del Fichero tiene de plazo diez días naturales para atender la rectificación y además:

  • Contestará en este plazo, de forma motivada, a la solicitud de rectificación, aún cuando los datos a rectificar no figuren en el Fichero.
  • Deberá poder justificar también ante la Agencia que ha atendido el ejercicio de este Derecho.
  • En el caso de que los datos objeto de rectificación hubiesen sido cedidos a un Tercero, deberá notificar al cesionario la rectificación practicada.
Respecto al Derecho de Cancelación

Este Derecho se podrá ejercitar por el Titular de los datos, si considerara que los mismos han sido tratados ilegalmente o son inexactos o incompletos.

En la solicitud de cancelación, el Titular de los datos o su Representante, deberán exponer las razones para la cancelación y, en el caso en sean por datos erróneos o inexactos, deberán aportar la documentación justificativa de tal aseveración.

El Responsable del Fichero tiene de plazo diez días para atender el derecho de cancelación, que irá acompañado de las siguientes medidas:

  • Contestará de forma motivada a la solicitud de cancelación en el plazo indicado, aún cuando los datos a cancelar no figuren en el Fichero.
  • Si existen razones, bloqueará los datos impidiendo su utilización.
  •  A partir de ese momento seguirá conservando los datos por las responsabilidades que pudieran derivarse. Éstos sólo estarán disponibles para las Administraciones públicas, Jueces, Tribunales.
  • Este bloqueo y conservación durará hasta que termine el plazo sobre posibles responsabilidades.
  • Cumplido este plazo, se procederá a la supresión total de los datos.
  • Si los datos bloqueados o cancelados hubieran sido cedidos previamente a un tercero, se deberá notificar al cesionario del bloqueo y de la cancelación.
Excepciones al Derecho de Cancelación en los Ficheros privados:

  • Cuando exista el deber de conservación de los datos, éstos no podrán ser cancelados durante el plazo establecido en cada caso por la legislación aplicable.
  • Tampoco serán cancelados cuando la conservación sea necesaria para el cumplimiento de las obligaciones contractuales que vinculen a la empresa con el interesado y justifiquen el tratamiento de los datos.
  •  Igualmente no se procederá a la cancelación cuando pudiese causar perjuicios al propio Titular de los datos o a un tercero.

Respecto al Derecho de Oposición

Se podrá ejercitar este Derecho cuando exista un motivo legítimo y fundado referido a una situación personal concreta, y siempre que una Ley no lo impida.

La Oposición puede referirse:

  • A que los datos se incorporen en un Fichero.
  • A que los datos sean comunicados a terceros.
  • A las dos posibilidades anteriores.
Este Derecho ha de ejercitarse mediante un escrito, dirigido al Responsable del Fichero, en el que se haga constar el motivo fundado y legítimo referido a la situación concreta justificativa de la solicitud.

También se puede ejercitar este Derecho en el mismo momento de la recogida de la información, por lo que las entidades estarán muy pendientes de comprobar si el Titular de los datos ha señalado con una X su negativa a la cesión o comercialización de los datos, aún en el supuesto en que no quepa este Derecho respecto al Fichero de la empresa, porque exista una relación contractual que lo impida.

El Responsable del Fichero, desde la recepción de la petición, tiene de máximo un mes de plazo para resolver sobre el ejercicio del derecho. Si no contesta en ese plazo, el Titular de los datos considerará desestimado el ejercicio de su derecho y podrá presentar una reclamación ante la AEPD.

En el caso de que el ejercicio del derecho sea procedente, el Responsable del Fichero debe excluir del tratamiento, los datos objeto del Derecho de Oposición.


El ejercicio del Derecho de Oposición en los Ficheros de datos con fines publicitarios y de prospección comercial

Se podrá ejercitar este derecho con una simple solicitud dirigida al Responsable del Fichero, sin necesidad de justificación.

En este caso, el Responsable del Fichero deberá cancelar los datos en el momento de recibir la solicitud. También evitará tratarlos, si en la recogida el Titular ejerce este derecho poniendo alguna cruz en la ventanilla habilitada al efecto. Las entidades deberán tener mucho cuidado de no cometer el error de no controlar estos detalles que aparecen en la documentación en la que se solicita el consentimiento.


Respecto al Derecho de Tutela

Cuando un Ciudadano ejerza el derecho de Tutela ante la AEPD, el Responsable del Fichero se verá sometido a un expediente, si la Agencia estima procedente el ejercicio de este Derecho, que originará estos momentos procesales:

  • La AEPD dará traslado de la reclamación al Responsable del Fichero.
  •  Éste tienen 15 días para hacer las alegaciones oportunas.
  • La AEPD resolverá el Expediente en un plazo máximo de 6 meses, con traslado de la resolución a cada una de las Partes.
  • Al margen de este expediente derivado del ejercicio del derecho de Tutela, existe la posibilidad de que la Agencia inicie de oficio un procedimiento sancionador, cuando de la resolución que dicte se deriven indicios o pruebas razonables de infracción de la legislación de protección de datos, por parte de la empresa denunciada.
Establecidas estas generalidades de interés para nuestras empresas, en las siguientes píldoras iré tocando aspectos de interés que ayuden al cumplimiento de las obligaciones que asumen las empresas con los Ficheros de datos de carácter personal. Y nada mejor para este objetivo que aprender de los errores que se comenten y de las consecuencias económicas que originan los mismos.

Fabián Zambrano Viedma
Responsable del Servicio





lunes, 24 de mayo de 2010

Los fraudes de clientes en la financiación del consumo


Los fraudes en las operaciones de financiación del consumo tienen su inicio en las solicitudes de los créditos, mediante la falsificación de los documentos de identificación y de los documentos de solvencia.

La clave para una buena prevención del fraude está en evitar el engaño en esta fase de la operativa crediticia, mediante cualquier falsificación documental.

Las falsificaciones pueden ser totales o parciales.


  • Falsificación total, cuando se presenta directamente o a través de prescriptores, documentos que no han sido originados por una fuente autorizada.
Los documentos falsificados de forma total pueden contener datos ficticios o datos verdaderos.


  • Falsificación parcial, cuando se realizan modificaciones sobre documentos verdaderos (que son los que han sido originados por una fuente autorizada).
En las operaciones de financiación al consumo hay cuatro bloques de documentos que pueden ser objeto de falsificación total o parcial:


  • Los documentos de Identificación: Documentos Nacionales de Identidad, Tarjetas de Extranjero, Pasaportes, Documentos de Identidad de Países de Europa que son efectivos en España. (Los restantes documentos con datos personales no deben considerarse de identificación en la actividad financiera: vg.: Documento de Conducir o Tarjeta de la Seguridad Social).

  • Los documentos Públicos u Oficiales: Escrituras notariales, Inscripciones Registrales y Oficios o Resoluciones de las Administraciones públicas.

  • Los documentos de Solvencia: Nóminas, Declaraciones Fiscales, Certificados de Empresa.

  • Los documentos Bancarios: Cartillas, cuentas corrientes, tarjetas de crédito o débito, etc.
Una gran parte de los fraudes de clientes, basados en la falsificación documental, podrían ser evitados si las entidades,


  1. mejoraran sus actuales procedimientos comerciales de acceso al crédito

  2. potenciaran sus departamentos de análisis de riesgos y seguridad mediante las nuevas tecnologías de la comunicación, especialmente las de uso común o cooperativo.

  3. cuidaran la formación continua de sus empleados en los temas de falsificación y prevención.

PRIMERA MEDIDA : La mejora de los actuales procedimientos comerciales de acceso al crédito

La crisis va a obligar a las entidades a modificar algunas de las prácticas que actualmente existen para la comercialización de los créditos al consumo, puesto que el negocio a partir de ahora no se basará ya en vender mucho crédito, sino principalmente en asegurar el cobro del crédito que se vende.

Ante esta nueva política de prudencia empresarial, los comerciales de las financieras comprenderán y apoyarán el incremento de la seguridad en los procesos de análisis de riesgos.

La primera mejora que conviene introducir en los procedimientos actuales de comercialización del crédito consiste en la eliminación de las fotocopias de los documentos de identificación en nuestros expedientes.

Para la consecución de este objetivo, hemos de introducir en nuestros procesos de comercialización las nuevas tecnologías que ya permiten la identificación fehaciente de los clientes en los puntos de venta (prescriptores).

En las fotocopias de los documentos identificativos, las falsificaciones resultan fáciles de hacer y complicadas de detectar.

Y aunque en nuestras entidades existen verdaderos expertos en el análisis de las fotocopias de los DNI y de las Tarjetas de Extranjero, con frecuencia la práctica adquirida resulta inútil cuando los falsificadores son profesionales y saben integrar las modificaciones de los datos en las líneas OCR. Existen muchos trabajos en Internet sobre este tema que pueden servir de ayuda a los falsificadores. Paso el link de uno de ellos y que por respeto a la propiedad intelectual de su autor no transcribo, pero que aconsejo leer por su interés operativo: http://jpf.sdf1.org/dni/

El cambio que propongo no va a ser inmediato, ni aún con la entrada en vigor de la nueva Ley de prevención del blanqueo de capitales y de la financiación del terrorismo, puesto que las entidades han de convencerse previamente de su utilidad y apostar por las nuevas tecnologías de una forma conjunta, para no hacerse competencia desleal.

Por ello y durante algún tiempo, algunas financieras van a seguir apostando por las fotocopias para justificar la identificación, basándose en el Art. 12 de la Ley 10/2010, de prevención del blanqueo de capitales, que trata de las “Relaciones de negocio y operaciones no presenciales”, sin valorar adecuadamente el riesgo reputacional y legal que van a asumir con esta práctica, ni el coste que va a suponer el cumplimiento de las medidas reforzadas de diligencia debida que la misma implica, mucho mayor que si apostaran de ahora por las nuevas tecnologías.

Mientras este convencimiento no llegue y se siga apostando erróneamente por las fotocopias, aconsejo las siguientes medidas:


  1. Efectuar un análisis técnico sobre los documentos fotocopiados y especialmente sobre los caracteres OCR.

  2. Verificación de los datos de los documentos de solvencia con los datos identificativos. Este análisis ayudará a detectar irregularidades y por tanto generará alertas que obliguen a hacer un análisis de riesgos más preciso.

  3. Exigencia a los prescriptores de que no acepten fotocopias hechas por los clientes y que si por cualquier razón tuvieran que aceptarlas, comprueben con cuidado que los datos que aparecen en las mismas son los que están registrados en los documentos supuestamente originales.

  4. Exigencia a los prescriptores de que revisen con un mínimo de diligencia los documentos originales para tratar de detectar aunque sólo sea las falsificaciones burdas.

  5. No se deben aceptar como documentos de identificación para una operación financiera los justificantes policiales por denuncia de pérdida o sustracción del DNI o de la Tarjeta de Extranjero, porque aunque desde muchas oficinas policiales se puede acceder a los ficheros oficiales de identidad para comprobar la veracidad de la denuncia a través de la foto del compareciente o en su caso por la huella, el prescriptor no sabe si el documento oficial que se le presenta pertenece a la persona que denunció la pérdida o sustracción, aunque lleve cosida una foto y hasta una impresión dactilar, puesto que no tiene los recursos técnicos policiales ni la formación especializada en dactiloscopia.

  6. Tampoco se deberán aceptar como documentos identificativos los que no tengan este carácter, aunque hayan sido expedidos por Autoridades Administrativas y posean la fotografía del Titular, ni los expedidos por organizaciones privadas. (Todos estos documentos tienen la función legítima para la que fueron creados, pero no son documentos identificativos válidos para la contratación).
Como he indicado anteriormente las fotocopias de los documentos de identificación tienen que desaparecer en un breve plazo de nuestras prácticas comerciales. De-fensa, junto con sus Socios tecnológicos va a poner a disposición de las entidades el Proyecto ID-CONFIRMA dentro de la estructura tecnológica para la prevención del blanqueo de capitales y de la financiación del terrorismo del SERVICIO DE INFORMACIÓN DE LOS SUJETOS OBLIGADOS (SISO). No olvidemos que la nueva legislación sobre prevención del blanqueo de capitales exige la identificación de los clientes mediante documentos fehacientes y, por tanto, no se puede dejar la función de identificación en manos de los prescriptores, puesto que no son ellos los sujetos obligados, sino las entidades de financiación.




SEGUNDA MEDIDA: La potenciación de los departamentos de análisis de riesgos y seguridad a través de las nuevas tecnologías de la comunicación, especialmente las que se han creado para uso cooperativo.

Si la primera llave falsa que utilizan los estafadores para penetrar en el sistema financiero es la falsificación de la identidad, la segunda y no menos importante es la falsificación de la solvencia.

Los programas que existen para estudiar la solvencia (vg.: los programas “scoring”), no pueden cumplir su función frente a los estafadores que presentan datos falsos, por lo que para salvar esta eventualidad resulta necesario estructurar procesos de análisis más complejos, que permitan interconectar los sistemas internos de análisis de riesgos, con otras plataformas que manejen datos procedentes de otras fuentes externas.

Las estructuras tecnológicas de análisis de riesgos han de interconectarse también con las nuevas plataformas de prevención del fraude y con otras que ya están creadas o se están creando para el Sector financiero (ficheros de información negativa, ficheros de información positiva y, plataformas cooperativas de análisis de datos).

Las herramientas comunes frente al fraude resultan mucho más rentables a largo plazo que las soluciones propias, puesto que ninguna entidad es una isla y la inteligencia compartida resulta más eficaz y económica.

Estas son las mejoras que convendría introducir en la nueva etapa de comercialización de los créditos, junto con la de la identificación fehaciente que he comentado en párrafos anteriores:


  1. Posibilitar a los departamentos de análisis de riesgos, la visualización inmediata de los documentos de identidad y solvencia, mediante el escaneo de los mismos en los puntos de venta desde el momento de la solicitud de las operaciones y, comparar automáticamente las firmas que aparecen en estos documentos con las obtenidas de forma presencial en los puntos de venta, utilizando para ello como firma indubitada la que aparece en los documentos de solicitud de los créditos y/o los documentos de Consentimiento.

  2. Posibilitar que los sistemas “scoring” estén conectados a los ficheros y plataformas contra el fraude existentes en el Sector Financiero, lo que mejoraría el análisis de riesgos con la información conseguida a través de la cesión de datos entre entidades. De esta manera se generarán alertas que permitirán trasvasar estas operaciones alertadas desde los sistemas automáticos a las mesas de análisis, con la consiguiente disminución del fraude. Pero para ello sería necesario también seguir alimentando las bases de datos de las plataformas de prevención del fraude, mediante la generalización de la obtención del consentimiento en el momento de la solicitud de los créditos.

  3. La obtención del consentimiento va a ser totalmente necesaria si queremos modernizar y tecnificar los procedimientos de financiación del crédito mediante el acceso a bases de datos comunes (fraude, positiva, etc.). El consentimiento es la piedra angular sobre la que se fundamenta la legalidad de las bases de datos comunes. La seguridad frente a la AEPD se consigue a través del EXPEDIENTE DE CESIÓN, a ser posible en formato electrónico. Tanto el EXPEDIENTE DE CESIÓN, como el DOCUMENTO DE CONSENTIMIENTO hoy pueden ser archivados de forma electrónica fuera de la empresa, a disposición de la entidad cesionaria propietaria de los mismos y de las Autoridades con interés legítimo , a un precio razonable teniendo en cuenta el coste que supone el archivo seguro interno de estos documentos de “compliance”, en departamentos que normalmente tienen una gran movilidad de personal, con el consiguiente problema de control de esta documentación por los últimos responsables
La seguridad del sistema financiero, frente al fraude y frente al blanqueo de capitales se fundamenta como he indicado anteriormente en el cuidadoso control de acceso, mediante la identificación fehaciente de los clientes y mediante el análisis de la veracidad de la información que aportan.

Para conseguir estos objetivos, las entidades necesitan alimentar las bases de datos comunes contra el fraude, y no sólo con las operaciones fraudulentas consumadas, sino también con los datos procedentes de operaciones solicitadas y no admitidas, pero que tras el análisis de riesgos se comprobaron que contenían datos incongruentes. Este criterio resulta fundamental para poder crear inteligencia común

La nueva cultura a desarrollar entre todas las entidades, tiene su justificación en razones de efectividad y de economía, porque de esta manera las empresas podrán integrar en sus procesos internos de análisis de riesgos y seguridad, instrumentos tecnológicos de prevención del fraude muy potentes que, al ser comunes, son más fáciles de mantener con un coste reducido.

Las nuevas tecnologías de la comunicación, con base cooperativa en el intercambio de información, cumplen realmente con sus objetivos operativos y reducen los gastos improductivos derivado de los casos de fraude detectados a tiempo. Son, por tanto, instrumentos que permiten medir su rentabilidad.


TERCERA MEDIDA: Formación continua de los empleados en las materias de prevención del fraude y falsificación

La tercera de las medidas que están demostrando su efectividad para la prevención del fraude es la formación.

Las personas que trabajan en los departamentos de análisis de riesgos y de seguridad constituyen la parte esencial de cualquier estructura empresarial de prevención del fraude.

Las entidades podrán dedicar mucho dinero a la compra de tecnología, pero si no invierten en formación, los resultados que obtendrán de esa tecnología no serán los óptimos y no darán soluciones a muchos de los problemas que sólo pueden resolverse mediante el factor humano.

La formación continua de estos equipos de profesionales es necesaria no sólo para facilitar el progreso personal y profesional de sus integrantes, sino para incrementar la rentabilidad de las estructuras tecnológicas con las que tienen que operar.

En esta formación especializada hay materias que son exclusivas de cada entidad, pero también existen otras comunes que deberían ser abordadas a través de las Asociaciones profesionales o los Servicios de Prevención del Fraude, para lo que resulta fundamental el impulso de las Comisiones de Prevención del Fraude.

De-fensa, pone a disposición de la Comisión de Prevención del Fraude de ASNEF y de todas las Entidades, el CAMPUS CONFIRMA del Grupo SIGNE, con el que estamos desarrollando la nueva estructura tecnológica de prevención del blanqueo de capitales y de la financiación del terrorismo.



A través de esta plataforma “e-learning” de formación no sólo vamos a poner a disposición de los sujetos obligados los cursos de formación para el blanqueo de capitales, sino también los cursos de formación para la prevención del fraude y, junto con SIGNE SCIENTIA, los cursos de formación sobre falsificación documental, que necesiten las entidades para potenciar la formación interna de sus profesionales.

Fabián Zambrano Viedma
Responsable del Servicio