Empresas de recobro: ¿Les pueden ceder mis datos? ¿Y “molestar” a mis familiares o compañeros de trabajo?
Julián López Martínez
Director de Sepín Administrativo. Abogado
Cada vez resulta más habitual que personas con débitos pendientes reciban cartas, faxes, burofaxes e, incluso, llamadas telefónicas de empresas de las que no han oído hablar nunca y con las que, por supuesto, no tienen vinculación contractual alguna, reclamándoles el abono de deudas pendientes. En ocasiones, estos requerimientos de pago suponen para el ciudadano un auténtico acoso. La situación se agrava cuando quien recibe esa presión en forma de requerimientos no es ya el titular de la deuda, sino la empresa para la que trabaja, sus padres, sus hermanos o hasta sus vecinos.
¿Estamos obligados a soportarlo?
Para dar respuesta a esta cuestión, debemos distinguir entre los dos supuestos enunciados: A) que la deuda sea reclamada por la empresa de recobro al titular de la misma o, B) que la deuda sea comunicada a personas próximas a este.
A) Reclamación de deudas por empresas de recobro al deudor
Desde el punto de vista de la protección de datos, si yo tengo una determinada deuda con una empresa, ¿es legal que otras empresas de recobro con las que no me une ningún tipo de relación me reclamen continuamente la deuda?; ¿es legal que mi acreedora ceda mis datos a otras empresas para que estas reclamen y gestionen el cobro por cuenta de aquella?
En este primer supuesto, lamentablemente, mucho nos tememos que poco podemos hacer frente a esta situación pues, por desgracia, la respuesta a estas preguntas es, con los condicionantes que señalaré a continuación, afirmativa. Es decir, en principio, tanto la actuación de la acreedora del crédito como de las empresas de recobro está amparada por la normativa vigente.
En este sentido, existen numerosísimas resoluciones de la Agencia Española de Protección de Datos en las que se procede al archivo de las denuncias presentadas por los particulares que se sienten “acosados”.
Los criterios empleados por la Agencia para determinar si la actuación de las empresa que cede los datos (la acreedora del crédito) y de las cesionarias (las empresas de recobro) es o no legítima serían, resumidamente, los siguientes:
1.º Existencia de contrato entre acreedora y empresa de recobro
Los apartados primero y segundo del art. 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (SP/LEG/3266), cuya rúbrica es “Acceso a los datos por cuenta de terceros” vienen a establecer que no tiene la consideración de comunicación de datos el acceso de un tercero a los datos cuando “dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento” y la realización de esos tratamientos por cuenta de terceros esté “regulada en un contrato” en el que expresamente se establezca que “el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas”.
Las empresas de gestión de recobros tienen la condición de “encargadas del tratamiento” en relación con el acreedor responsable, lo que, precisamente, legitima que por las mismas se recaben los datos del deudor.
En consecuencia, será necesario que entre la empresa titular del crédito (aquella con la que el particular contrató y a la que realmente le debe alguna cantidad) y la de recobro exista un contrato cuyo objeto esté constituido o comprenda la realización de un servicio de gestión de recuperaciones de deuda en los asuntos que le sean encomendados.
El principal requisito, por lo tanto, para que el tratamiento de los datos del afectado cumpla con los exigidos en la normativa vigente de protección de datos es que exista un contrato previo de prestación de servicios en virtud del cual se habilite a la empresa/s de recobro acceder a los datos personales del responsable del fichero (la empresa acreedora) en los términos del art. 12 LOPD, anteriormente citado.
En palabras de la Agencia de Protección de Datos (Resolución de archivo del Expediente Nº: E/01201/2015 –SP/SENT/829829): “Es necesario recordar que estas empresas de gestión de recobro de deudas ejercen una actividad regulada en la normativa de protección de datos (art. 29 LOPD). Son empresas que prestan servicios a terceras entidades y en virtud de ese servicio necesitan conocer datos personales de los clientes de la empresa que las ha contratado, por tanto, este acceso a los datos no puede considerarse una cesión o comunicación de datos personales, así como tampoco necesita del consentimiento de los titulares de los datos para tratarlos, ya que, el tratamiento que realiza una empresa de recobro es aquel que deriva del servicio prestado al responsable del fichero o tratamiento”.
Otro ejemplo de archivo por motivos similares lo encontramos en la Resolución de archivo de 1 de octubre de 2015, recaída en el expediente 3690/2015 (SP/SENT/829828).
2.º Acreditación del consentimiento por el responsable del fichero
La empresa acreedora, aquella con la que contratamos y a la que se le debe algún importe, para estar facultada para comunicar los datos a una empresa de recobro, primero debe cerciorarse de que cuenta con el consentimiento del afectado para el tratamiento de sus datos personales.
El incumplimiento de este requisito conllevaría que la actuación de la empresa responsable del fichero no estuviera amparada por la normativa y fuera merecedora de una sanción.
A modo de ejemplo, podemos citar la Resolución 2487/2015, de 28 de septiembre, de la AEPD (SP/SENT/829830). Los hechos examinados en aquel caso eran, resumidamente los siguientes: Una empresa de telefonía había cedido los datos personales de un presunto cliente, y de la deuda asociada a este, a una empresa de Recobro, con la que había firmado un contrato.
El problema radicaba en que, según el denunciante, nunca había contratado con dicha empresa de telecomunicación, negaba absolutamente la existencia de una deuda y afirmaba que en ningún caso podía estar “respaldada por contrato de prestación de servicios de telefonía, firmado por mí, ni en su caso, figura mi voz en la contratación a través de telefonía, ni la cuenta bancaria de cargo por las facturas de telefonía, no está a mi nombre”.
En efecto, tras realizarse la oportuna práctica de prueba se concluyó que los datos personales de la persona denunciante (nombre, apellidos, DNI) habían sido incorporados a las bases de datos de la empresa de telecomunicaciones como cliente y posteriormente asociados a una deuda que no le correspondía, tratándolos por el responsable de tales ficheros, dicha empresa de telefonía, para incluirlos en la relación de créditos que había cedido a la empresa de recobro.
Por ello, afirmaba la Agencia, que la mercantil de telecomunicaciones, en su condición de responsable del fichero de los datos personales, no había probado que recabó y obtuvo el consentimiento de la persona denunciante, incumpliendo la carga de acreditar la existencia del consentimiento “inequívoco” del afectado que corresponde al responsable del tratamiento.
Así pues, en este caso, la Agencia concluyó lo siguiente:
“En consecuencia, el tratamiento de los datos personales de la persona denunciante vulnera el principio del consentimiento recogido en el artículo 6.1 de la LOPD, por cuanto el mismo se realizó sin que XXX haya acreditado que contaba con el consentimiento inequívoco de la persona afectada o mediase habilitación legal para ello, no resultando de aplicación al mismo la excepción al consentimiento recogida en el artículo 6.2 de dicha norma que pudiera derivar de la relación contractual entre las partes al no haberse probado relación contractual.
Por ello, con arreglo a lo expuesto, la comunicación de datos personales de la persona denunciante por XXX a YYY se produjo sin el consentimiento de la persona afectada, con quien no había relación contractual de la que supuestamente derivaba el crédito objeto de compraventa ni consentido la cesión de sus datos personales, incurriendo en la cesión inconsentida imputada”.
Como consecuencia de todo ello, se impuso una sanción económica a la entidad que había comunicado la deuda a la empresa de recobro.
B) Llamadas y cartas reclamando “mi” deuda a “mis” familiares, vecinos, compañeros de trabajo…
Aquí el panorama cambia desde el punto de vista de la protección de datos. Si yo tengo una deuda tendré que asumir (como hemos visto anteriormente) que empresas que prestan servicios de recobro para mi acreedora me la reclamen. Ahora bien, lo que no tenemos que soportar es que mi acreedora o sus empresas de gestión de recuperaciones “acosen” a mis conocidos.
¿Y cuál sería la base jurídica para defendernos frente a este hostigamiento a nuestro entorno? La respuesta se halla en el art. 10 de la Ley Orgánica de Protección de Datos que impone el Deber de Secreto en los siguientes términos: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
Un ejemplo paradigmático de este segundo supuesto lo encontramos en el Procedimiento Sancionador incoado por la Agencia Española de Protección de Datos (PS/97/2010) frente a Banco XXX. En aquel caso, una veintena de denunciantes relacionados con el deudor pusieron de manifiesto que la entidad financiera se había puesto en contacto con ellos, por diversos medios, y, una vez confirmada la relación con su cliente (el verdadero deudor), les manifestaban la existencia de una deuda.
Así, en la relación de hechos que contenía aquella resolución se incluían, entre otros, los siguientes:
“Una de sus compañeras ha declarado que XXX le informó que tenía que localizarle urgentemente pues tenía un impagado que iba a pasar a ejecutiva. Otro de sus compañeros manifiesta que recogió un fax dirigido al denunciante y que lo depositó en la bandeja de trabajo de este”.
“Declaración de sus suegros, en las que estos manifiestan que empleados de XXX, en distintas llamadas recibidas, les comunicaron que su yerno tenía una deuda impagada con dicha entidad financiera”.
“Declaraciones de dos de sus hermanas, que manifiestan que el 30/07/2009 recibieron llamadas de XXX preguntando por la relación de esta denunciante con su cliente, pues este tenía una deuda con el banco”.
“Los fax enviados a los centros de trabajos, si bien es cierto que el mensaje es únicamente un aviso para que el afectado se ponga en contacto urgentemente con XXX, hay que poner este hecho en relación con las múltiples llamadas efectuadas a los centros de trabajo, para contactar con los clientes, por lo que cualquier compañero de los denunciantes que reciba el fax (que es un medio no seguro ni confidencial) y lo asocie con las repetidas llamadas, puede deducir cuál es la situación de su compañero con el banco y el motivo de las reiteradas llamadas«.
«Más significativo es el caso del denunciante 11, con las grabaciones aportadas, correspondientes a dos conversaciones telefónicas con XXX. En la primera de ellas, comunican al hermano del denunciante 1 que este tiene una deuda con el banco, informándole del importe de las cuotas mensuales impagadas, del total impagado y de los posibles gastos totales en el caso de reclamación judicial”.
Pues bien, en este caso, el Procedimiento Sancionador finalizó con una resolución sancionadora (SP/SENT/831271) para la entidad financiera (80.000 € de multa) por una infracción del deber de secreto recogido en el art. 10 LOPD.
Este tipo de hechos también han sido objeto de reproche judicial. A modo de ejemplo, podemos citar la Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 25 de octubre de 2013 (SP/SENT/742522); en dicha Sentencia, la recurrente era precisamente la empresa XXX, que había sido sancionada por la AGPD por vulnerar el deber de secreto a la hora de reclamar deudas por cuenta de los Servicios Financieros de una multinacional de la alimentación.
La Audiencia Nacional confirmó la sanción (en esta ocasión, de 50.000 €), al quedar acreditado que “en el bloc de notas de los empleados de XXX, constan llamadas a su centro de trabajo, así como a su domicilio y que se contacta con el «cotitular» cuando solamente el denunciante figuraba como titular único de los productos contratados con Servicios Financieros YYY. En concreto, de las anotaciones de las llamadas efectuadas el 18 y el 22 de enero y el 13 de abril de 2010 se comprueba que el cónyuge del denunciante se le facilitaron datos de las cantidades pendientes de ingresar”.
Espero que este post sirva de orientación para todos aquellos que se han visto envueltos en situaciones similares a las descritas anteriormente y veamos que, como deudores, hay cosas que debemos aguantar y otras que no.