equifax fuentes accesibles al publico

Equifax y fuentes accesibles al público

 

Equifax captaba datos de “fuentes accesibles al público”: sanciones y otras informaciones de contenido económico del BOE, el Tablón Edictal único y las sedes electrónicas de administraciones y alimentaba con ellos un fichero cuya finalidad era determinar la solvencia de los interesados y evitar el fraude. Los informes basados en este fichero llegaban a miles de empresas.

La AEPD le impuso la semana pasada una sanción triple:

  • Un millón de euros de multa (ojo: se proponían inicialmente nueve millones), pero además, y estas son las grandes novedades:
  • se prohíbe continuar utilizando dicho fichero y
  • se ordena la supresión de todos los datos afectados por los incumplimientos sancionados.

Como veremos, la multa pudo alcanzar nueve millones de euros, pero esto es lo de menos. Esta resolución de la AEPD, sin alcanzar las cuantías de multa impuestas a BBVA, Caixabank o Vodafone es, desde mi punto de vista, la más importante impuesta hasta la fecha, por las importantes implicaciones y consecuencias que traerá consigo.

 

La defensa

Equifax alegó en su defensa una especie de mantra muy popular en el sector pero sin mucho fundamento: la presunta licitud del tratamiento de los datos extraídos de las fuentes accesibles al público, citando diversas resoluciones y dictámenes de la AEPD, sentencias (previas al RGPD) y aplicando analógicamente la regulación sobre ficheros de morosos en la LOPDGDD de 2018.

Recordemos que la LOPD del 99 vinculó abusivamente “interés legítimo” y “fuentes accesibles al público” con la consecuencia de restringir el uso del primer concepto y liberalizar el del segundo. Todo ello, sin base alguna en la Directiva del 95.

Chifladuras hispánicas como esta o como lo de que «los datos mixtos quedaban fuera del ámbito de la LOPD» saltaron por los aires en mayo de 2018 con la aplicación del RGPD.

Pero sólo «materialmente»: faltaban pronunciamientos formales que obligaran a las partes a coger este toro por los cuernos.

De hecho, ese mismo argumento de santificar cualquier tratamiento de datos de «acceso libre» -que prácticamente elevaba las fuentes accesibles al público a la categoría de séptima base de legitimación de tratamiento de datos personales- fue el principal motivo del dictamen de rechazo de la AEPD a la propuesta de Código de Conducta del lobby ASEDIE del sector infomedia, en el que Equifax es uno de los principales players.

 

El Código de Conducta de ASEDIE

En el larguísimo dictamen de la AEPD sobre este Código de Conducta, se desmontó la posibilidad de acceso y posterior uso indiscriminado de datos de “fuentes accesible al público”, uno a uno, respecto de numerosos casos, precisamente los más utilizados (datos procedentes de publicaciones oficiales como la obtención de plazas de funcionarios, becas, subvenciones, datos de registros públicos, catastro, Tablones edictales de sanciones, edictos y anuncios de la Seguridad Social, registro público concursal, Boletín oficial de la Propiedad Industrial, censos de electores de cámaras de comercio, registros de profesionales colegiados…).

Se deja claro que, en adelante, los datos captados de fuentes accesibles al público requieren un “sello homogado” de “comercio justo” –más bien de interés legítimo-. Ese código de conducta buscaba institucionalizar más bien una “patente de corso”.

El esfuerzo desplegado en ese dictamen presagiaba a las claras sanciones basadas en los mismos argumentos. No creemos que la de Equifax sea la última, sino la primera de muchas. Porque el abuso de estas fuentes accesibles al público se aprecia en múltiples sectores y actividades. Hay demasiados ejemplos.

Y así lo anticipé en mi intervención en el webinar PrivacyConnect de OneTrust el mes pasado (vídeo disponible aquí, previa inscripción).

 

 

La Agencia recuerda que todas estas publicaciones tienen una finalidad determinada (normalmente de interés público regulada en la ley), y cualquier uso secundario de los datos publicados tiene que ser (i) compatible con dicha finalidad original, (ii) ser lícita, es decir, tener una base de legitimación –normalmente el interés legítimo– y (iii) ser transparente, es decir ser notificado el tratamiento secundario al interesado-.

El acceso, captación de datos de estas bases públicas y su tratamiento posterior debe ser objeto de un análisis crítico y riguroso a la luz de los principios generales del art. 5 RGPD.

 

La magnitud del problema: el “data scraping”

La otra cara de la moneda de las «fuentes de acceso público» es el “data scraping”, la captación automatizada de datos de internet y demás fuentes abiertas.

La creación y utilización de bases de datos propias o de terceros utilizando esta técnica está muy extendida en banca, seguros, y cualquier actividad que implique vender productos o servicios a crédito a consumidores.

También es ubicua en sectores como la contratación laboral y de directivos (background check), en la publicidad personalizada, la comparativa y analítica de precios, etc…

Hay que recordar que los medios de comunicación, la web en general y las redes sociales en particular son otra “fuente accesible al público” que tienen sus propias reglas de utilización –sus términos y condiciones-.

Y el problema es ese mismo «mantra» de «los datos están ahí, no veo por qué no puede recogerlos y utilizarlos para lo que quiera«. Aquí hay que reconocer que, si muchos profesionales de privacidad no lo tienen claro, no le puedes pedir peras al olmo. Sólo que sí las puedes pedir, porque precisamente la creación de perfiles longitudinales de datos que se nutren automatizadamente (y sin control ni revisión alguna desde el punto de vista de la protección de datos personales) de este tipo de fuentes suponen un grave riesgo para la privacidad de los interesados.

Y por eso, esta sanción.

 

La sanción pudo ser de nueve kilotrones

 La Agencia proponía inicialmente 9 milloncejos de sanción, por infracciones del principio de licitud del tratamiento (3 millones); exactitud (3M); limitación de finalidad (1M); minimización (1M) y transparencia (1M).

Pero en definitiva, la Agencia sólo ha sancionado el incumplimiento del principio de limitación de finalidad del tratamiento, considerando que el resto de infracciones eran «mediales», esto es, que constituían el instrumento para alcanzar el que se ha considerado resultado más grave, y por tanto, el único sancionado.

En este sentido, podría pensarse que a Equifax le ha salido barata la broma.

Lo cierto es que el mayor drama para la sancionada no es la sanción, sino sobre todo, la prohibición de seguir tratando estos datos y la obligación de borrar todos los datos incluidos en incumplimiento del RGPD en el polémico fichero.

No se vayan todavía, aún hay más: si aplicamos el art. 17 RGPD en todo su esplendor, Equifax está obligada a notificar a todas las empresas que hayan consultado dicho fichero, el hecho de que ha tenido que borrar todos esos datos, para que hagan lo propio. Es de esperar una batalla judicial por todo lo alto instando la suspensión cautelar de estas sanciones «no pecuniarias»: el sector puede quedar patas arriba.

Incumplimientos imputados a Equifax

Se parte de la idea de que la finalidad de la publicación de sanciones y datos personales económicos en Boletines y publicaciones oficiales es la de sustituir o complementar las notificaciones personalizadas al ciudadano de las resoluciones administrativas que se le impongan (normalmente cuando no se le puede practicar una notificación ordinaria).

Esta finalidad viene amparada por la ley, que además impone ciertas garantías (publicación de datos por tiempo limitado, no indexación en buscadores de internet, no publicación del NIF íntegro, o nunca de todos los datos juntos (nombre-apellidos-domicilio).

La finalidad del fichero de Equifax es la de valorar la solvencia de los interesados incluidos y evitar el fraude en posteriores transacciones económicas (ej: no acceder a préstamos que no se vayan a poder devolver).

La AEPD concluye que la finalidad original de la publicación y la del tratamiento secundario de Equifax no son compatibles.

  • Ilicitud del tratamiento: por la incompatibilidad anterior, y porque no cabe el interés legítimo aquí, por falta de relación adecuada (inexistente, más bien) entre Equifax y los interesados cuyos datos se recaban, y superar el tratamiento realizado cualquier expectativa razonable de dichos interesados. Y es que la ponderación interna del interés legítimo no es algo fácilmente reducible a una formulilla matemática. (Bueno: sí lo es, otra cosa es que funcione).
  • El tratamiento no es legítimo: no hay necesidad, ni idoneidad, ni exactitud -los datos son inexactos porque estas fuentes no permiten actualizar ni adverar la información-, ni se trata información completa ni por tanto, adecuada para la finalidad pretendida -se publica una sanción, pero no hay manera de saber si se ha pagado ni cuándo-.
  • Incumplimiento de obligación de transparencia. (p. ej. Equifax sólo notificó en 2018 este tratamiento de datos a unos 340.ooo interesados de los cuatro millones alojados en su fichero).

 

Poooor cierto, de nuevo, esta resolución vuelve a insistir en esa «doctrina jurisprudencial comunista-bolivariana» establecida por el Supremo en el caso «Juasapp»: esa que dice que el interés legítimo de obtener un beneficio económico nunca puede prevalecer sobre los derechos e intereses del ciudadano (¿?).

equifax fuentes accesibles al publico

 

El peligro de todas esas ponderaciones de intereses “complacientes”

Me parece relevante subrayar cómo la AEPD esgrime contra Equifax su propia ponderación de interés legítimo, que según ella, acredita que el incumplimiento es consciente. Esto ya ocurrió con CaixaBank y BBVA.

Esto es un claro aviso para navegantes (para el DPD y el consultor en la materia): la ponderación de intereses debe ser objetiva.

  • Si lo único que haces es documentar los argumentos que te vienen bien, obviando cualquier otra consideración en plan “el papel lo soporta todo”, ese mismo papel te puede acabar costando muy caro.
  • Si consideras “medidas adicionales de salvaguardia de derechos” lo que sólo son obligaciones que tenías que cumplir de todos modos, estarás socavando o desvirtuando la solidez que pudiera tener tu justificación.

Un enfoque riguroso te permitirá pisar sobre seguro o, si se decide asumir riesgos, al menos tenerlos acotados desde el minuto uno.

 

¿Y ahora qué? ¿Se pueden seguir utilizando fuentes accesibles al público?

Sí, se puede. Pero depende de cuál y para qué.

En nuestra experiencia es difícil, por no decir imposible, que puedas seguir haciendo exactamente lo mismo que hacías hasta ahora.

Pero hay buenas noticias: combinando determinadas técnicas (concretamente: dos) seguramente podrás recabar y tratar datos más limitados, pero precisamente los útiles a tus finalidades. Eso es lo importante.

Y desde luego, cumpliendo. Y esto otro es igual de importante.

 

Jorge García Herrero

Abogado y Delegado de Protección de datos

Imágenes de la estupendísima película «Marriage story» (2019, dirigida por Noah Baumbach y producida por Netflix).