LA REGULACION DE LA CENTRAL DE INFORMACION DE RIESGOS EN EL CAPITULO VI DEL PROYECTO DE LEY 621/0000086 DE MEDIDAS DE REFORMA DEL SISTEMA FINANCIERO EN RELACION CON LA LEY ORGANICA 15/1999 DE PROTECCION DE DATOS DE CARÁCTER PERSONAL. La regulación de la Central de Información de Riesgos en el capítulo IV del proyecto, cuyo plazo de presentación de enmiendas en el Senado finaliza el próximo día de septiembre, presenta la característica de mantener dos funciones de las denominadas propias de las administraciones públicas y una función de las denominadas impropias. En el marco de las denominadas funciones propias que asume el Banco de España en su Central de Información de Riesgos está la de recabar de las entidades declarantes datos e informaciones sobre los riesgos de crédito para : 1. Permitir a las autoridades competentes para la supervisión prudencial de dichas entidades el adecuado ejercicio de sus competencias de supervisión e inspección. 2. Contribuir al correcto desarrollo de las restantes funciones que el Banco de España tiene legalmente atribuídas Sin embargo, en el artículo 56 junto a estas dos funciones propias se regula una de carácter impropio consistente en facilitar a las entidades declarantes datos necesarios para el ejercicio de su actividad, función en la que, como indica el artículo 66 del Proyecto de Ley, concurrirán con ficheros de carácter privado. Es ésta función impropia a la que nos vamos a referir en el presente informe en sus aspectos relativos al cumplimiento de la Ley Orgánica de Protección de Datos. Es un hecho claro y evidente dada la configuración de nuestra Ley en la que se diferencian los ficheros públicos y privados, y así ha sido hasta la fecha, que a la Central de Información de Riesgos no le es aplicable el artículo 29 de la mencionada Ley Orgánica de Protección de Datos, por el simple hecho de tratarse de un fichero de titularidad pública. No obstante la naturaleza y operativa de éstos ficheros coincide con la los sometidos al artículo 29 en el ámbito de los ficheros de titularidad privada. En ambos casos, públicos o privados, estamos ante ficheros comunes donde aportan su información las entidades participantes en el mismo, y tanto en públicos como privados coincide el tipo de datos que se aportan. Estos datos se han denominado positivos y negativos, en función de si hacen referencia a datos económicos de la operación relativos a la situación del riesgo o si hacen referencia a la situación de morosidad en que pudieran encontrarse. 1
Por tanto, y hasta la fecha, la Centra de Información de Riesgos, tanto en su vertiente de datos positivos como negativos 1, ha estado sometida a la regulación general de la LOPD, y en concreto a sus principios regulados en los artículos del 4 al 12, y al régimen de tutela de los derechos, por lo que aún sin estar sometida al régimen del artículo 29 los interesados han gozado de todos los derechos y principios que garantiza la LOPD, y que permite que en ningún caso se pueda ver menoscabado el derecho fundamental a la protección de datos. La regulación en el Proyecto de Ley de Reforma del Sistema Financiero de la Central de Información de Riesgos ha introducido una regulación de aspectos concretos de protección de datos que se alejan de los principios y regulación del ejercicio de los derechos del interesado en la LOPD. Este proyecto de regulación restringe las garantías que debe tener el ciudadano ante una información que, sin tener el carácter de sensible, si ha demostrado en la práctica que su uso por las entidades financieras puede claramente afectar a la esfera de intimidad del individuo en cuanto puede suponer un elemento para medir su capacidad creditícia. Vamos a ver a continuación como ésta regulación específica del Proyecto de Ley menoscaba los derechos del interesado y los principios generales de la protección de datos que establece la Ley Orgánica 15/1999, y que posteriormente se han consolidado en la Sentencia 292/2000 del Tribunal Constitucional como un derecho fundamental de carácter autónomo. Esta visión se va a dar respecto al principio de calidad de los datos, el ejercicio del derecho de rectificación/cancelación, la tutela de derechos, y por último respecto al principio del consentimiento. a) en relación al principio de calidad de los datos del articulo 4 de la LOPD El artículo 4 de la LOPD establece que los datos serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del interesado, mientras que el último párrafo del apartado segundo del artículo 57 del Proyecto de Ley de Reforma del Sistema Financiero establece que los datos deben de responder con veracidad no solo a la situación del interesado sino a la de sus riesgos, y lo que es más importante y relevante, estos datos ya no tienen que responder a su situación actual sino a la de la fecha en la que los riesgos son declarados. De ésta forma, y con ésta nueva regulación, los interesados que conforme a doctrina reiterada de la Agencia de Protección de Datos, confirmada en múltiples ocasiones por la Audiencia Nacional, tienen el derecho, de rectificación o cancelación, a que los datos contenidos en estos ficheros respondan a su 1 En el caso de los ficheros de titularidad privada los denominados ficheros positivos deben, en general, gestionarse con el consentimiento del interesado (artículo 29.1 LOPD) y sin consentimiento del interesado para las situaciones de morosidad (artículo 29.2 LOPD) 2
situación actual, se ven privados de esta protección en tanto que el dato solo tiene que ser cierto a la fecha de la declaración de la información por la entidad acreedora. Es decir, si una entidad aporta que una persona debe determinada cantidad a una fecha concreta- la de aportación-, aunque posteriormente realice el pago el titular a la entidad acreedora no tendrá derecho el titular a obtener la rectificación del dato, en tanto que el mismo conforme al Proyecto de Ley cumple con el Principio de Calidad. Curiosamente este mismo titular, y respecto a la misma deuda. si tendrá derecho a actualizar éste dato en los ficheros privados de morosidad, aunque de poco le servirá dado el grado de implantación de la Central de Información de Riesgos. b) en relación al derecho de rectificación y cancelación regulados en el articulo 16 de la LOPD. El artículo 16 de la LOPD regula que el responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. Es decir que la LOPD establece una garantía para el interesado de que en un plazo razonable de diez días pueda conocer el pronunciamiento del responsable del fichero respecto a su solicitud de rectificación o cancelación. El Proyecto de Ley de Reforma del Sistema Financiero hace una regulación que choca frontalmente con la de la LOPD en varias partes de su articulado, y en concreto en los siguientes artículos: 1) Artículo 62, apartado segundo.- Las limitaciones que se establecen son las siguientes: El Banco de España como responsable del fichero únicamente mantiene la obligación de dar traslado de la reclamación a la entidad acreedora, y no la de hacer efectivo el derecho conforme a la lo indicado en el artículo 16 de la LOPD. La entidad de crédito que reciba a través del Banco de España la solicitud de rectificación o cancelación de un titular contará para contestarla con quince días a contar desde su recepción en cualquiera de sus oficinas, con el único compromiso del Banco de España de dar un traslado inmediato a la entidad de crédito implicada. Es decir, que el plazo de 10 días que regula la LOPD se amplía a 15 días sin causa justificada, y él computo no se realiza desde que lo reciba el responsable del fichero sino desde que lo reciba la entidad de crédito una vez que el Banco de España haya dado algo tan indeterminado como un traslado inmediato, y en cualquier caso para él más favorable de los supuestos cinco días mas 2. 2 Debe tenerse en cuenta que la Instrucción 1/98... 3
2) Artículo 62 apartado tercero.- En este artículo se reconoce la posibilidad de que el ejercicio del derecho de rectificación o cancelación se ejerza no ante el responsable del fichero sino ante la entidad financiera aportante de la información al Banco de España, regulando para éste supuesto que el plazo de contestación será de veinte días, aumentando por tanto en diez días plazo de contestación que establece el artículo 16 de la LOPD sin causa alguna y nuevamente con claro menoscabo para los derechos del interesado. c) en relación a la tutela de derechos regulada en el articulo 18 de la LOPD La LOPD regula en su artículo 18 que las actuaciones contrarias a la LOPD pueden ser objeto de reclamación de los interesados ante la Agencia de Protección de Datos, de la forma que reglamentariamente se determine. Esta regulación quiebra nuevamente en el Proyecto de Ley de Reforma del Sistema Financiero, si bien no de forma tan significativa como los anteriores, ya que se pretende en el último párrafo del apartado segundo del artículo 62 que la tutela de derechos cuyo amparo pueda solicitar el interesado se dirija contra la entidad informante. De esta forma parece que se quieren dejar impunes los posibles incumplimientos que pudiera realizar el Banco de España como responsable del fichero. Como se puede ver en el apartado anterior, la intención del proyecto es que el Banco de España actúe como medio intermediario entre las entidades financieras y los interesados que ejerzan sus derechos, y este hecho, que como ya hemos visto en por sí mismo criticable, se endurece cerrando al ciudadano incluso la posibilidad de solicitar la tutela de derechos frente al Banco de España, si por ejemplo este organismo incumple el compromiso de inmediatez en tramitar la solicitud frente a la entidad de crédito regulada el párrafo anterior del mismo artículo y apartado, ya comentada con anterioridad. Ha sido práctica habitual hasta la fecha por parte de la Agencia de Protección de Datos el tramitar la tutela de derechos frente al responsable del fichero común y ante la entidad informante cuando no quedaba claro de quién era la responsabilidad de no haber dado cumplimiento a la petición de rectificación o cancelación del interesado. De la forma que se pretende regular, conforme a lo expuesto, no solo se amplían los plazos de contestación sino que parece se pretende dejar al Banco de España de la petición de tutela de derechos del interesado con una presunción de que su actuación siempre será sujeta a derecho. Con ésta regulación solo la prueba en contrario presentada por el ciudadano, dará lugar a la puesta en marcha del régimen de protección que estable ce el artículo 18 de la LOPD. 4
d) en relación con el principio del consentimiento y el derecho de oposición. El marco regulador de la LOPD ha venido a completarse con la Sentencia del Tribunal Constitucional 292/2000 de 30 de septiembre que ha establecido que los limites a este derecho fundamental deben responder a unos requisitos que son: 1. El respeto a la reserva de Ley previsto en el artículo 53.1 de la Constitución Española que implica: Que las limitaciones estén justificadas en la protección de otros derechos o bienes constitucionales Que las limitaciones sean proporcionadas al fin perseguido por ellas 2. La certeza y previsibilidad de los propios límites y su modo de aplicación Al margen de estos requisitos la mencionada Sentencia 292/2000 añade que: respecto al derecho a la protección de datos de personales cabe estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí sola, en la actividad de la Administración Pública 3. Los anteriores antecedentes hacen cuestionable la configuración de la excepción al principio del consentimiento y la limitación al derecho de oposición en la medida que aunque previsiblemente vayan a quedar reguladas las mencionadas excepciones en una ley, y por tanto cumplan con el principio de reserva de Ley, dichas limitaciones no están justificadas por la protección de otros derechos o bienes constitucionales, y no son proporcionadas al fin perseguido por ellas. La anterior afirmación se basa en el propio funcionamiento actual de la CIRBE (Central de Información de Riesgos del Banco de España) sometida hasta la fecha al régimen de la LOPD, configurada como un sistema de aportación de datos por las entidades financieras al sistema central que no requiere el consentimiento del interesado en esta fase del tratamiento aportación de la información -, ni para la fase en la cual las personas son consultadas en la medida que se mantiene una relación contractual con la entidad que consulta. No obstante, el momento actual, los interesados mantienen dos tipos de garantías básicas en protección de datos: Se requiere el consentimiento del interesado para ser consultado por una entidad de la que no es cliente, compromiso que adquieren las entidades de crédito y supervisa el Banco de España 4. Respecto a los tratamientos que no requieren el consentimiento (aportación de la información y consulta de clientes) el interesado tiene el derecho de oposición basado en motivos fundados y legítimos, en cumplimiento de lo estipulado en el apartado cuarto del artículo 6 de la LOPD. 3 Copiar al pie de página el texto integro 4 poner referencia exacta a la regulación actual 5
Nuevamente, en este punto del consentimiento y el derecho de oposición, el Proyecto de Ley de Reforma del Sistema Financiero pretende rebajar las actuales garantías al amparo de una reserva de Ley que no cumple el resto de requisitos establecidos por el Tribunal Constitucional en la Sentencia 292/2000, ya que: Las entidades declarantes tendrán derecho a obtener informes sobre los riesgos de las personas físicas (artículo 58.2), sin que en la regulación aparezca la necesidad de recabar el consentimiento del interesado cuando no sean clientes conforme a la regulación actual. El interesado no tendrá, pese a que no se va a contar con su consentimiento, al derecho de oposición, al regular el artículo 56.3 que No habrá lugar al derecho de oposición de los afectados al tratamiento, realizado conforme a lo previsto en la presente Ley, de sus datos de carácter personal. Esta regulación rompe con la introducción del derecho a la protección de datos en nuestra legislación, y la consolidación del mismo en la Sentencia del Tribunal Constitucional que sientan las bases de este derecho fundamental sobre el pilar que implica el consentimiento o autodeterminación del interesado para los tratamientos que se deben realizar con sus datos. El Proyecto de Ley priva al titular de su posibilidad de autodeterminación o consentimiento para ser consultado por una entidad de crédito de la que no es cliente, garantía que si obtendrá en los ficheros privados 5, y que hasta la fecha cuenta respecto a la propia CIRBE. Además, esta nueva regulación que reduce las garantías del interesado se produce sin que aparentemente exista otros derechos constitucionalmente protegibles y sin que sean proporcionadas 6, requisitos que como ha quedado expuesto exige el Tribunal Constitucional. Al igual que lo anteriormente expuesto sucede con el derecho de oposición que los interesados, y desde la promulgación de la Ley Orgánica de Protección de Datos, pueden ejercer ante el Banco de España para los supuestos en los que el tratamiento de datos se produce sin su consentimiento, y que de aprobarse la actual regulación en el proyecto, se verán privados del mismo sin que esta medida nuevamente pueda justificarse por la protección de otro derecho o ser proporcionada. En suma estamos ante una regulación que da una paso hacia atrás en el derecho a la protección de datos al eliminar el derecho a la autodeterminación y no dejando ni siquiera la posibilidad de ejercitar su derecho de oposición, bajo una pretendida reserva legal, que a todas luces no cumple con los requisitos establecidos por el Tribunal Constitucional en su Sentencia 292/2000 5 Debe tenerse en cuenta que los denominados ficheros de datos positivos en el marco privado van a tener que ser gestionados con el consentimiento del interesado 6 Encontramos que es difícil justificar la proporcionalidad cuando sin causa aparente se reduce esta garantía a los interesado, los cuales hasta la fecha venían disfrutando de la misma 6