Sanciones de la AEPD: 5 infracciones le cuestan a Equifax un millón de euros

La AEPD sigue cumpliendo con su labor de velar por la protección de los datos personales, sin importar si los infractores son particulares, pymes, grandes empresas o Administraciones Públicas. La última entidad en recibir una importante sanción por incumplimiento de la normativa ha sido Equifax.

Sanción por vulnerar los datos personales

Equifax es un registro de impagados, algo que seguramente hayas oído nombrar como fichero de morosos. Lo que hace es elaborar listados con los datos de personas que han dejado alguna deuda sin pagar.

Aunque polémicos, este tipo de ficheros son legales, puesto que solo pueden consultarlos ciertas entidades y únicamente a fin de comprobar la solvencia de una persona antes de prestarle dinero.

Equifax cuenta con un Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ) que se ha estado nutriendo de información publicada en los boletines oficiales, que se consideran registros y fuentes accesibles al público.

Sin embargo, la AEPD ha llegado a la conclusión de que esto no es legal. El RGPD deja bien claro que las publicaciones sobre deudas hechas en boletines oficiales tienen como única finalidad cumplir con la obligación que tiene la Administración de notificar la deuda al interesado (puede ser una multa pendiente de pago, una sanción de Hacienda).

Cuando la Administración Pública no puede notificar personalmente al interesado, cumple con el requisito de notificación publicando la comunicación en el boletín oficial que corresponda. Lo que estaba haciendo Equifax es revisar todos los boletines e incluir los datos de los afectados en su FIJ.

La Agencia Española de Protección de Datos recibió más de cien denuncias al respecto provenientes de ciudadanos que, al ir a solicitar un préstamo, se enteraron de que estaban inscritos en un fichero de morosos. Esto, como bien imaginarás, no es plato de buen gusto para nadie, así que los afectados reclamaron.

Se inició entonces una investigación que ha culminado con una de las sanciones más altas de los últimos tiempos. Equifax va a tener que pagar un millón de euros por infringir la legalidad en materia de protección de datos.

AEPD infracciones Equifax

¿Qué infracciones ha cometido el registro de impagados?

Vulnerar los datos personales es algo que sale caro, y en este caso todavía más, porque Equifax ha vulnerado cinco principios básicos de la protección de datos.

Principio de limitación de finalidad

El RGPD establece que los datos publicados en fuentes públicas como los boletines oficiales no pueden ser usados para otra finalidad que no sea de interés público. Y está claro que inscribir esos datos en un fichero de morosos no tiene nada que ver con el interés público.

Principio de licitud

Se considera que el tratamiento de los datos ha sido ilícito porque la propia obtención de los datos no ha sido legal.

Principio de exactitud

Los datos recogidos en ficheros deben ser exactos y actualizarse periódicamente, pero muchos de los datos del FIJ llevaban sin actualizarse más de seis años.

Principio de minimización

Los datos recogidos y tratados deben ser acordes a la finalidad perseguida. Dado que en este caso Equifax no estaba legitimado para tratar los datos, se entiende que tampoco ha cumplido con este principio.

Deber de informar

El RGPD establece la obligación de informar al interesado si se han obtenido sus datos personales a través de terceros. El FIJ contaba con más de cuatro millones de datos y las notificaciones realizadas sobre la inscripción de los mismos no llegaban a las 350 000.

La AEPD ha sido clara en sus argumentos y no solo ha sancionado a Equifax, sino que le ha prohibido seguir con el tratamiento de datos personales a través del FIJ. Una muestra más de que ni las grandes empresas se libran cuando cometen infracciones en materia de protección de datos.

imagen