En su Informe 195/2017, la Agencia Española de Protección de Datos (AEPD) responde – entre otras- a una consulta planteada por la Asociación Española de Banca (AEB) que versa sobre de la legitimación de los tratamientos de datos de carácter personal consistentes en la realización del análisis de la solvencia de un cliente con la finalidad de ofrecerle financiación.
La AEB se refiere en este supuesto al tratamiento de datos identificativos del cliente, así como de datos de relacionados con la solvencia o el riesgo, llevándose a cabo un perfilado.
En la consulta planteada, la AEB solicita a la AEPD que tenga en consideración que para conceder financiación las entidades bancarias han de realizar necesariamente y con carácter previo un análisis de la solvencia del cliente, en línea con lo previsto en la legislación sectorial y sus propias políticas de riesgo.
Asimismo, la AEB entiende que cuando sea la propia entidad la que por iniciativa propia ofrezca la financiación al cliente, ésta debería poder ampararse en su interés legítimo, habida cuenta que este tipo de acción puede aportar un enorme beneficio a los clientes, quienes son en último término los que deciden voluntariamente si acceden o no al producto o servicio ofertado.
Dando respuesta a la mencionada consulta, la AEPD considera que resulta preciso distinguir los dos siguientes supuestos:
- Análisis llevado a cabo para valorar la solvencia del cliente que solicita un producto de financiación (p.ej., la concesión de un préstamo o crédito) para determinar el riesgo que puede generar el mismo y decidir sobre la conclusión o no del contrato.
Este tratamiento vendría legitimado atendiendo a la ejecución de contrato (artículo 6.1.b del RGPD), en conexión con normativa sectorial que eventualmente imponga el deber de recabar información necesaria para la valoración del riesgo.
Además, en este caso, la legitimación sería la misma, independientemente de que la información utilizada para llevar a cabo el análisis de solvencia proviniese de fuentes meramente internas, o también de fuentes externas a las entidades bancarias.
Enlazando con lo anterior, es necesario indicar que en el caso de la consulta de los ficheros de solvencia patrimonial y de crédito, la protección de los intereses económicos del cliente debe también conjugarse con el derecho fundamental a la protección de datos personales. Dado que la información relativa al cumplimiento o incumplimiento de obligaciones dinerarias facilitadas por el acreedor o por quien actúe por su cuenta o interés tendrá la consideración de dato de carácter personal, se debe tener en cuenta que nuestro ordenamiento jurídico impone ciertas limitaciones en cuanto al tratamiento de esta tipología de dato de carácter personal.
Así, el aún vigente -a fecha de emisión del presente informe- artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece que quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y crediticia, sólo podrán tratar datos de carácter personal procedentes de los registros y fuentes accesibles al público establecido para tal uso o aquellos datos obtenidos de informaciones facilitadas por el interesado o con su consentimiento. De esta manera, queda establecido en el artículo 38.1 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD que sólo se podrá acceder y disponer de datos relativos a la solvencia del cliente, para proceder a su análisis, en los casos en los que se cumplan los siguientes requisitos:
- La existencia previa de una deuda cierta, vencida y exigible.
- El impago de ésta.
- La no reclamación de la deuda por vía judicial, arbitral o administrativa.
- Que no hayan transcurrido seis años desde la fecha en que estaba fijado el pago de la deuda o el vencimiento de la obligación o del plazo concreto si se tratara de una obligación periódica.
- La realización de un requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.
Asimismo, cabe indicar que el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal regula las posibles habilitaciones legales para el tratamiento de datos personales fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el GDPR, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento.
Ahora bien, de conformidad con el GDPR, a pesar de no tener que recabar el consentimiento, las entidades bancarias deberán facilitar la siguiente información a los interesados:
- Información significativa sobre la lógica aplicada.
- La importancia y las consecuencias de su negativa a la realización del scoring, que puede suponer que la entidad no pueda proceder con la concesión del crédito o la prestación del servicio.Asimismo, la entidad bancaria deberá adoptar siempre medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado.
- Análisis llevado a cabo sin que el cliente haya solicitado producto de financiación, empleado para ofrecerle un producto no solicitado (p.ej., la “preconcesión” de un crédito).
Cuando el perfilado se lleva a cabo con información distinta de la derivada de la relación del cliente con la entidad (información de fuentes externas), se requerirá el consentimiento del interesado.
Cuando el perfilado se lleva a cabo exclusivamente con información propia de la entidad, aplicará el interés legítimo dado que se puede entender que el interesado tiene una expectativa razonable de que la contratación de un producto o servicio de implicará un seguimiento posterior de los mismos con el fin de determinar si pueden o no ser potenciales beneficiarios de otras ofertas de productos o servicios de la entidad. En este supuesto, se habrá de informar al interesado de que se va a llevar a cabo este perfilado no bastando únicamente con informarle sobre la remisión de publicidad y se le deberá dar la oportunidad de oponerse al mismo.