Blog del Servicio de Prevención del Fraude

Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)





C/ Velázquez, 64-66, 2ª planta

28001 Madrid

Teléfono del Servicio: 917814551

Fax: 914314646



Correo electrónico: spfraude@asnef.com







martes, 7 de septiembre de 2010

SENTENCIAS DEL TRIBUNAL SUPREMO EN MATERIA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL (continuación)




Modificaciones introducidas en el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por las Sentencias de la Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), de fecha 15 de julio de 2010.


Esquema de Trabajo:

La Sala Sexta del Tribunal Supremo (Sala de lo Contencioso-Administrativo), con fecha 15 de julio de 2010 sentenció sobre tres recursos contenciosos administrativos interpuestos en su día contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF), por la FEDERACIÓN DE COMERCIO ELECTRÓNICO Y MARKETING DIRECTO, y por EXPERIAN BUREAU DE CREDITO, S.A.

Las tres Sentencias indicadas han dado lugar a las siguientes modificaciones del actual Reglamento de Desarrollo de la Ley Orgánica 15/2007, de 13 de diciembre, de protección de datos de carácter personal:

  • Anulación del Artículo 11
  • Anulación del Artículo 18
  • Anulación parcial del Apartado 1 a), del Artículo 38
  • Anulación del Apartado 2 del Artículo 38
  • Anulación del Apartado 2 del Artículo 123
  • Dejar imprejuzgada la impugnación del Artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.


Artículos anulados y la valoración del Tribunal Supremo

  • Artículo 11 del Reglamento (ANULADO), y que dice:

“Verificación de datos en solicitudes formuladas a las Administraciones públicas.

Cuando se formulen solicitudes por medios electrónicos en las que el interesado declare datos personales que obren en poder de las Administraciones públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la autenticidad de los datos.”


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

El Artículo 11, en su redacción actual no se acomoda a los Artículos 6 (Consentimiento del afectado) y 11 (Comunicación de datos) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Con este artículo se habilita un nuevo supuesto de tratamiento y/o cesión de datos por parte de las Administraciones Públicas sin consentimiento de los interesados, sin más habilitación que una norma reglamentaria.


Comentario:

Bajo mi criterio este Artículo volverá a estar vigente en un próximo futuro cuando se redacte de nuevo con la fórmula propuesta en su día por el Ministerio de Administraciones Públicas instigadora del mismo, a saber:

“La formulación por medios electrónicos de solicitudes en las que el interesado declare datos personales que obren en poder de las Administraciones públicas conllevará la autorización al órgano destinatario de la solicitud para que verifique la autenticidad de tales datos.”

De esta forma, las solicitudes que se formulen a las Administraciones públicas por medios electrónicos conllevarán implícitas el consentimiento tácito de los ciudadanos para la verificación de los datos contra las bases existentes en las Administraciones.

  • Artículo 18 del Reglamento (ANULADO) y que dice:

“Acreditación del cumplimiento del deber de información.

  1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos afectados.
  2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La disposición reglamentaria del Artículo 18 debe ser anulada porque contraviene la Ley Orgánica 15/1999, de 13 de diciembre, puesto que el legislador ha optado por la libertad de forma para ejercer el deber de informar del Art. 5 de la citada Ley, abriendo por tanto múltiples posibilidades (escrita, verbal, telemática, etc.). La obligación del Artículo 18 se establece - ex novo - y por tanto al margen de la Ley. Podría aceptarse el contenido de este articulo no como obligación sino como mera recomendación - ad cautelan - de una dificultad probatoria futura.
  • Apartado 1 a), del Artículo 38 (ANULACIÓN PARCIAL) y que dice:

“Requisitos para la inclusión de los datos.

  1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos: a)Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”

El Tribunal Supremo elimina la siguiente frase de la letra a) del apartado 1 del Artículo 38:

“… y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.”, por lo que la letra a), en base a esta Sentencia tendría la siguiente redacción:


a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación parcial

El Apartado 1.a) del Artículo 38 no responde a la previsión legal del Artículo 4.3. (Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado) , en atención a la defectuosa redacción del precepto reglamentario por una inconcreción en su texto no solo de aquellos procedimientos que justifican la no inclusión en los ficheros de las deudas a que aquellos de refieren, sino también porque esa vaguedad permite considerar que incluso cuando la reclamación se formule por el acreedor exista la imposibilidad de inclusión de los datos en el fichero.

La aplicación de la norma anulada puede producir efectos adversos al permitir evitar la inclusión del dato relativo a la deuda en los ficheros de solvencia patrimonial, de la misma forma que cuando se incluye en un fichero de esa naturaleza la existencia de una deuda inexistente, no vencida o inexigible, lo que iría en contra del Artículo 4.3. de la Ley 15/1999 antes señalado, y del Artículo 6.1.d) de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 13 de abril de 2008, relativa a los contratos de crédito al consumo, que exige que los datos sean exactos y, cuando sea necesario, actualizados, así como que se tomen todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueran recogidos o para los que fueron tratados posteriormente, sean suprimidos o ratificados.

No es posible sostener con éxito que, en aquellos casos en que se hubiera entablado con respecto a la deuda un procedimiento de los expresados en el artículo 1.a), puede hablarse de una deuda cierta antes de que recaiga resolución firme o se emita el informe correspondiente, en los supuestos previstos en el Reglamento de los Comisionados para la defensa del cliente de los servicios financieros aprobado por Real Decreto 303/2004, de 20 de febrero, aprobado en desarrollo de la Ley 44/2002, de 22 de noviembre, de Reforma del Sistema Financiero.

Esta redacción defectuosa permite la existencia de un conflicto de intereses que debe resolverse a la luz de la doctrina constitucional, exigiendo una mayor concreción en el precepto reglamentario que pondere los intereses en presencia en atención a las circunstancias concretas.
  • Apartado 2 del Artículo 38 (ANULADO) y que dice:

“No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.
Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.”


Los requisitos anteriores a los que se refiere este apartado son los siguientes:

  • El apartado 1.a) anteriormente referenciado y que ha sido anulado parcialmente por la sentencia.
  • El apartado 1 b) que dice lo siguiente: “Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.
  • El apartado 1 c) que dice lo siguiente: “Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.”


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

La norma, sin duda, quiere responder al principio de calidad de datos, y no tipifica <> ninguna infracción. Lo que hace es trasladar la carga de la prueba de la concurrencia de los requisitos previstos en el artículo 38.1 al encargado del tratamiento, pero ha de reconocerse que lo hace en términos tales que origina una gran inseguridad jurídica, que puede dar lugar a la apertura de expedientes sancionadores.

Por ello ha de concluirse que no es conforme a derecho.

Cierto es que la prueba de indicios es una prueba admitida en nuestro derecho, pero no lo es menos, y y valga al respecto la cita de la sentencia de la Sala de lo Civil de este Tribunal de 16 de septiembre de 1996, que no es equiparable a la prueba de presunciones. Sin duda juega un papel relevante en el ámbito cautelar, pero ha de reconocerse que la redacción de la norma al no concretar qué principio de prueba exige (documental, pericial, testifical, etc.), junto a la dificultad de apreciación del grado exigible de la prueba indiciaria, origina en efecto una inseguridad jurídica que debe corregirse.


Redacción final del Artículo 38 tras las anulaciones efectuadas por el Tribunal Supremo:


“Requisitos para la inclusión de los datos.

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada. (anulación parcial de texto)

b. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquella fuera de vencimiento periódico.

c. Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

2. ANULADO

3. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos, documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente.


  • Apartado 2 del Artículo 123 (ANULADO) y que dice:

“Personal competente para la realización de las actuaciones previa.

  1. Las actuaciones previas serán llevadas a cabo por el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.
  2. En supuestos excepcionales, el Director de la Agencia Española de Protección de Datos podrá designar para la realización de actuaciones específicas a funcionarios de la propia Agencia no habilitados con carácter general para el ejercicio de funciones inspectoras o a funcionarios que no presten sus funciones en la Agencia, siempre que reúnan las condiciones de idoneidad y especialización necesarias para la realización de tales actuaciones. En estos casos, la autorización indicará expresamente la identificación del funcionario y las concretas actuaciones previas de inspección a realizar.
  3. Los funcionarios que ejerzan la inspección a los que se refieren los dos apartados anteriores tendrán la consideración de autoridad pública en el desempeño de sus cometidos.Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas.”


Queda, por tanto anulado el apartado 2 del Artículo, teniendo sólo la condición de Autoridad en el desempeño de sus cometidos el personal del área de la Inspección de Datos habilitado para el ejercicio de funciones inspectoras.


Argumentación generada o validada por el Tribunal Supremo para justificar la anulación

No se contempla la facultad que al Director de la Agencia concede el precepto reglamentario, ni en ningún otro artículo de la misma y la mención en el precepto reglamentario a “supuestos excepcionales”, por su falta de concreción supone la apertura de un amplio campo para la designación que está reñida con el limitado y específico de la encomienda de gestión.
  • La cuestión prejudicial del artículo 10.2 a) y b)

Las Sentencias a los recursos plateados sobre esta cuestión por la ASOCIACIÓN NACIONAL DE ESTABLECIMIENTOS FINANCIEROS DE CRÉDITO (ASNEF) y la FEDERACIÓN DE CONSUMO ELECTRÓNICO Y MARKETING DIRECTO, dejan imprejuzgada la impugnación del artículo 10.2 a) y b), por planteamiento de cuestión prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, y hasta que dicho Tribunal se pronuncie sobre la cuestión de mención.

Hasta el pronunciamiento del Tribunal de Justicia de las Comunidades Europeas, resulta de interés puntualizar los argumentos esgrimidos por el Tribunal Supremo para tomar esta decisión, y que, sin duda, van a pesar a partir de ahora en cualquier interpretación que se haga sobre los artículos mencionados.


Punto a) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.

“Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas."


Punto b) del Apartado 2 del Artículo 10: Supuestos que legitiman el tratamiento o cesión de los datos.


“Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

No obstante, las Administraciones públicas sólo podrán comunicar al amparo de este apartado los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizados para ello por una norma con rango de ley.”


Planteamientos del Tribunal Supremo al Tribunal de Justicia de las Comunidades Europeas

  1. ¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?
  2. ¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?


La Directiva 95/46/CE aspira a una armonización completa de las legislaciones nacionales, al tiempo que quiere establecer un equilibrio entre los dos pilares sobre los que pivota su regulación: la libre circulación entre los Estados miembros de los datos de carácter personal sin merma alguna de los derechos y libertades fundamentales del interesado, lo que se reconoce en el punto a) del Apartado 2 del Artículo 10 reglamentario.

El derecho español añade al interés legítimo como presupuesto del tratamiento de los datos sin consentimiento del titular un requisito que no está en la mencionada Directiva a juicio de los demandantes: que los datos consten en fuentes accesibles al público.

Se depende, por tanto, de la interpretación que el Tribunal dé al artículo 7, letra f) de la Directiva 95/46/CE, la posible solución de litigio planteado, toda vez que el legislador español ha cerrado el listado de las fuentes accesibles al público que para otros Estados son más amplias, lo que afecta a la armonización pretendida por la Directiva.

Si el Tribunal concluye que nada impide que los Estados miembros exijan, además de la concurrencia del repetido interés, la presencia de los datos en fuentes accesibles al público, habrá que concluir que la Ley española y el Reglamento que la desarrolla se ajustan en este punto al ordenamiento jurídico de la Unión.

Si, por el contrario, es criterio del Tribunal de Justicia que nos les cabe a los Estados miembros añadir requisitos adicionales a aquella exigencia, debería inaplicarse, para el caso de que se pueda reconocer al repetido artículo 7, apartado ñ) efecto directo, la previsión legislativa interna, quedando huérfano de cobertura el artículo 10, apartado 2, letra b) del real Decreto 1720/2007.



Fabián Zambrano Viedma
Responsable del Servicio

viernes, 3 de septiembre de 2010

SERVICIO PARA LAS EVIDENCIAS ELECTRÓNICAS FINANCIERAS (SEVEF)



Dentro del Servicio de Prevención del Fraude de ASNEF hemos puesto en funcionamiento un Servicio para las Evidencias Electrónicas Financieras (SEVEF), que tiene como objetivo apoyar a nuestras entidades en la lucha contra la ciberdelincuencia que ataca al Sector Financiero a través de los servicios que éste ofrece a sus clientes a través de Internet.

Este Servicio colabora con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), con el que la Asociación Nacional de Establecimientos Financieros de Crédito tiene firmado un Convenio de Colaboración para potenciar la seguridad y la e-confianza en las nuevas tecnologías de la información y la comunicación.

El Servicio para las Evidencias Electrónicas Financieras (SEVEF), será el nexo de colaborción operativa entre las entidades financieras integradas en la Comisión para la Prevención del Fraude de ASNEF y el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y los Proveedores de Seguridad que colaboran con nuestra Asociación.

Entre los instrumentos que ha puesto en funcionamiento INTECO y en cuyo desarrollo hemos colaborado desde la Asociación a través del Proyecto SEVEF, está el REPOSITORIO DE FRAUDE DE INTECO, que ya está creando inteligencia sobre el fraude electrónico y sobre los ataques que la ciberdelincuencia realiza contra nuestras plataformas tecnológicas de banca "on line" o de comercialización de productos financieros.

Este REPOSITORIO, del que adjunto información a través del correspondiente enlace, es un ejemplo de la colaboración que puede darse entre las iniciativas pública y privada y una forma operativa con la que las entidades financieras pueden ayudar para facilitar el trabajo de investigación de las Unidades de Investigación Tecnológica de los Cuerpos Policiales centrales y autonómicos.

Este Blog difundirá a partir de ahora también la cultura de la seguridad informática y dará a conocer las iniciativas y la colaboración  con el Instituto Nacional de Tecnologías de la Comunicación (INTECO), en favor de la seguridad informática y de la e-confianza de los Ciudadanos hacia las nuevas Tecnologías de la Información y la Comunicación (TIC).

Como este Blog y los restantes editados por De-fensa están siendo cada vez más visitados por especialistas de prevención del fraude y prevención del blanqueo de capitales, vamos a difundir también a través de los mismos las estadísticas mensuales de fraude electrónico de INTECO-CERT, lo que servirá para un mejor conocimiento del trabajo de seguridad que nos ofrece el Instituto y potenciar así la colaboración entre el Sector Financiero y los Ciudadanos, con el Instituto.

INTECO tiene creada la OFICINA DE SEGURIDAD DEL INTERNAUTA (OSI), orientada a los usuarios finales con escasos conocimientos técnicos en materia de seguridad, que puede ser muy útil para muchos de nuestros clientes, e INTECO-CERT, Centro de Respuesta a Incidentes de Seguridad, enfocado a profesionales y que está a disposición de nuestras entidades, portales que animo a visitar no sólo por la magnífica información que contienen, sino también por las herramientas que están a disposición de los ciudadanos y de las empresas.

Las entidades financieras que estén interesadas en recibir una información personalizada sobre el REPOSITORIO DE FRAUDE DE INTECO, pueden remitirme un correo electrónico a spfraude@asnef.com, que yo reportaré a INTECO para que el Instituto contacte directamente con ellas.


Fabián Zambrano Viedma
Responsable del Servicio