Uno de los tratamientos que se considera habilitado por el interés legítimo del responsable o de un tercero es el relativo al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia.
Licitud del tratamiento de las entidades de información crediticia
Se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito si se cumplen los siguientes requisitos:
- los datos hayan sido facilitados por el acreedor,
- los datos se refieran a deudas ciertas, vencidas y exigibles,
- el acreedor haya requerido el pago de manera que se pueda acreditar,
- los datos deben mantenerse en el sistema mientras persiste el incumplimiento,
- los datos pueden ser consultados si hay una relación contractual con el afectado.
La entidad que mantenga el sistema de información crediticia debe notificar al afectado de la inclusión de tales datos e informarle sobre la posibilidad de ejercitar sus derechos. El plazo es de 30 días siguientes a la notificación de la deuda al sistema. Durante este plazo los datos deben permanecer bloqueados.
Cuantía mínima de la deuda
No se incorporarán a los sistemas de información crediticia las deudas inferiores a 50 euros. Esta cuantía podría ser actualizada por el Gobierno mediante real decreto.
Corresponsabilidad del tratamiento
Las entidades que mantengan el sistema y las acreedoras tendrán la condición de corresponsables del tratamiento de los datos. Ellos deben determinar sus responsabilidades respectivas, como por ejemplo:
- punto de contacto para los interesados,
- funciones y relaciones respectivas de los corresponsables en relación con los interesados,
- notificar al interesado sobre los aspectos esenciales del acuerdo.
Responsabilidad activa de entidades de información crediticia
Las entidades deben adoptar medidas técnicas y administrativas para evitar:
- situaciones de discriminación,
- usurpación de identidad o fraude,
- pérdidas financieras,
- daño para la reputación,
- cualquier otro perjuicio económico, moral o social significativo para los afectados.
Evaluación de impacto
Por su parte, el RGPD dispone que los responsables del tratamiento deben elaborar evaluación de impacto relativa a la protección de datos en caso de evaluación sistemática y exhaustiva de aspectos personales de personas físicas.
No cabe duda de que este tipo del tratamiento puede dar lugar a la toma de decisiones que pueden producir efectos jurídicos para los interesados.
Delegado de protección de datos
Deben designar delegado de protección de datos:
- las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito,
- las entidades responsables de los ficheros comunes para la gestión y prevención del fraude,
- y también los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales,
- entidades responsables de la financiación del terrorismo.
Disponemos de Delegados de Protección de Datos certificados por las entidades de certificación.
Pidan presupuesto sin compromiso de implantación de la normativa vigente
