Datos personales en la gestión de cobro

Actualización: 28/6/2019

La gestión de cobro dentro de una empresa viene siendo un tema complejo por cuanto afecta a la tesorería y supone una tarea mal vista. Aunque en la última década se ha profesionalizado y son más las empresas especializadas, persiste la idea de enfrentamiento, denuncia y acoso. De hecho aún pueden encontrarse denuncias a la Agencia Española de Protección de Datos y organismos de Defensa del Consumidor contra empresas que utilizan malas prácticas para conseguir el cobro de una deuda.

En el presente artículo no voy a entrar en la licitud de la mala praxis de este tipo de empresas sino en la información personal que puede llegar a gestionarse y las consecuencias negativas de la persona afectada. Sobre todo cuando dichos datos se ceden o comunican a terceros: empresas de gestión de cobro o Ficheros de información sobre solvencia patrimonial y crédito (ficheros de morosos).

El morosólogo Pere J. Brachfield establece que antes de gestionar el cobro es necesario averiguar la causa del impago, recopilar la documentación que pruebe la existencia de la deuda y reunir toda la información del deudor para establecer su perfil y la forma de cobrabilidad. En este proceso previo de tres fases se recaba abundante información personal que debe ser tratada según unos protocolos establecidos conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD).

¿Qué requisitos son necesarios para poder recabar datos personales relativos a deudas?

El artículo 20 de la LOPDPGDD establece una serie de requisitos para que sea lícita la recopilación, almacenamiento y tratamiento de datos personales:

a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.

b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.

c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe.

d) Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.

e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.

f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.

Exactitud de los datos

El artículo 5.1.d) del RGPD establece que los datos de carácter personal serán “exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»)”. Esto significa que pueden existir casos en los que efectivamente hay deuda pero no es responsable el presunto deudor. Aquí es imposible exigir el pago y menos aún la cesión de los datos personales a una empresa de gestión de cobros o fichero de morosos.

Entre las causas que pueden provocar esta situación están:

- Errores de tipo administrativo

- Incidencias logísticas, en atención al cliente, técnico

- Errores de la entidad financiera

Hay que recordar también el artículo 1445 del Código civil: “por el contrato de compra y venta uno de los contratantes se obliga a entregar una cosa determinada y el otro a pagar por ella un precio cierto, en dinero o signo que lo represente.” Si bien es cierto que el deudor tiene la obligación de pagar un producto o servicio contratado, el acreedor tiene la obligación de entregar la “cosa determinada” o el “servicio” objeto del contrato. Si no lo hace puede quedar sin efecto el contrato y, por tanto, convertirse el acreedor en deudor. En este caso tampoco puede “etiquetarse” al deudor como tal y ceder los datos a terceros para la gestión del cobro.

Documentación que pruebe la deuda

Para probar que realmente existe deuda es necesario aportar una serie de documentos en los que constan datos personales protegidos por la LOPDPGDD:

- Contrato

- Correspondencia

- Albarán de entrega

- Factura

- Recibo

- Cheque, pagaré o letra de cambio

Información que se recaba del deudor

Brachfield (1) numera una relación de datos importantes para llevar a cabo un análisis de cobrabilidad. A esta lista se ha añadido otros datos que actualmente están recabando empresas de gestión de cobro. Estos datos son por un lado de carácter personal y, por otro, información que permite crear un perfil de la persona:

- Nombre y apellidos del deudor

- DNI

- Número de la Seguridad Social o Mutualidad

- Número de cliente

- Dirección

- Teléfono

- Características personales

- Circunstancias sociales

- Persona de contacto [se incorporan datos personales de una tercera persona]

- Vendedor que hizo la operación

- Antigüedad de las relaciones comerciales

- Estados de cuenta de los últimos 18 meses

- Facturación de los últimos 12 meses

- Límite de crédito concedido

- Situación actual del riesgo

- Pedidos servidos

- Pedidos pendientes de envío

- Giros domiciliados enviados a su cuenta bancaria en los últimos 30 días

- Efectos, letras, pagarés y cheques pendientes de cobro

- Historial de pagos e incidencias

- Forma de atender los pagos

- Riesgo de crédito del deudor

- Hábito de pagos y cumplimiento de promesas

Seguridad en el tratamiento

En la anterior LOPD se establecían detalladamente tres de niveles de seguridad en función del tipo de datos a tratar: alto, medio y bajo. Sin embargo, tras su derogación por la LOPDPGDD, será el responsable o encargado del tratamiento el que establezca la seguridad del tratamiento según su propio criterio. No obstante, el artículo 9 de la LOPDPGDD sí hace una excepción a ciertos datos englobándolos en las Categorías especiales de datos: “datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.”

Por tanto, al no existir unos niveles de seguridad de establezcan la importancia de cada tipo de dato personal, el artículo 32 del RGPD recomienda una serie de medidas que garanticen la seguridad de los datos sin tener en cuenta el nivel de importancia de cada uno:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Aunque los niveles de seguridad de la antigua LOPD están derogados, no impide que sirvan de referencia a la hora de tratar la información. Un ejemplo son las clínicas o centros de salud privadas poseen datos personales considerados anteriormente como especialmente protegidos por el antiguo artículo 7 de la LOPD y cuyo nivel de seguridad era Alto. Si al reclamar una deuda a un paciente trascendiera algún tipo de información, por insignificante que pueda parecer, sobre la salud de la persona afectada se está vulnerando uno de los derechos fundamentales del artículo 16.2 de la Constitución Española. Igualmente en el caso de sindicatos o asociaciones de carácter político o religioso.

Recopilación de la información

Anteriormente los artículos 3. j), 28 y 29 de la antigua LOPD establecían que solo podía adquirirse los datos personales a través de las fuentes de acceso público o procedente de las informaciones facilitadas por el interesado o con su consentimiento:

- Registros públicos

- Fuentes accesibles al público

- Clientes y usuarios

- Datos de deudores publicados en los boletines oficiales

Con la modificación legislativa, solo se hace referencia a tres tipos de fuentes:

a) Propio interesado. La Unión Europea ya no da una pista de la fuente principal para que los datos personales adquiridos puedan ser tratados. El artículo 6.1.a) del RGPD habla de la licitud del tratamiento estableciendo que podrán adquirirse datos personales cuando “el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”. Y el artículo 4.2.a) de la LOPDPGDD amplía el concepto cuando habla de la exactitud de los datos y la no responsabilidad del responsable del tratamiento cuando los datos hayan sido obtenidos directamente del afectado. Por tanto, la primera fuente de información es la que proporciona el afectado y si la información no es del todo exacta el responsable del tratamiento no se le podrá imputar.

b) Adquiridas sin consentimiento del interesado. El artículo 14.1 del RGPD nos dice que “Cuando los datos personales no se hayan obtenidos del interesado, el responsable del tratamiento le facilitará… información.” Y enumera tanto los datos de quien recopila la información, la finalidad, etc., como los derechos que tiene el afectado para garantizar su privacidad. El artículo 11.3 de la LOPDPGDD remite directamente al Reglamento europeo: “cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.” De estos dos artículos se deduce que el responsable del tratamiento puede adquirir información de otras fuentes siempre y cuando lo comunique al afectado y le permita ejercer sus derechos.

c) Fuentes públicas. Nuevamente el artículo 14.2.f) del RGPD reconoce la existencia de otra fuente: de acceso público. En este artículo establece la obligación de informar al afectado sobre “la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público.” El Reglamento europeo no especifica qué son fuentes de acceso público, por lo que debemos buscarlo en la Disposición final tercera de la LOPDPGDD que modifica la Ley Electoral. Dentro de esta disposición, en el punto dos que añade a dicha ley el artículo 58 bis, establece que “los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.” Esta es la única referencia a fuentes de acceso público. Ante este vacío legislativo considero que sigue siendo válida la consideración que hace el artículo 3, párrafo segundo, de la antigua LOPD: “el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.” Y a ello hay que añadir las páginas web.

Sanciones

La antigua LOPD contemplaba ciertas sanciones en caso de que los datos personales fueran tratados de forma ilegal o produjera perjuicios en los derechos del afectado. En el caso de la gestión de cobro, lo más importantes eran:

- No informar al interesado sobre el tratamiento de sus datos

Infracción: Leve. Sanción: 900 a 40.000 €

- Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas