La Sala de lo Civil del Tribunal Supremo ha hecho pública una sentencia, de fecha veintiuno de Mayo de dos mil catorce (recurso núm. 2959/2012 y ponente serñor Saraza Jimena), por la que establece que, de acuerdo con la normativa sobre protección de datos, las empresas gestoras de los registros de morosos son responsables de comprobar "la existencia, certeza y vencimiento de las deudas" cuyo impago motivó la inclusión en el registro de una persona, por lo que, además, han de responder de los daños y perjuicios causados al afectado cuando se hayan incumplido esas obligaciones, solidariamente con el acreedor.
Los hechos
El demandante, abogado en ejercicio, concertó en septiembre de 2008 un contrato con una empresa para obtener publicidad en la web de páginas amarillas de su actividad profesional como letrado, tras lo que el comercial de la empresa hizo constar en el documento contractual una anotación manuscrita donde se recogía la 'posibilidad de anulación a lo largo de la vigencia del contratado pagando la parte proporcional que lleve consumida y publicada en la red".
El 20 de noviembre de 2008, el abogado hizo uso de la facultad que se le otorgaba en esa cláusula del contrato y remitió una comunicación a la empresa, a través de la cuenta de correo electrónico del comercial con el que contrató, en la que le comunicó su decisión y le solicitó que le cargaran en su cuenta la cantidad de 231,92 euros correspondiente al tiempo que había hecho uso de los servicios publicitarios contratados, pues ya había pagado 347,88 euros por el primer mes.
No obstante, la empresa "hizo caso omiso" de la comunicación del letrado y siguió girando los recibos mensuales por importe de 347,88 euros, tras lo que el demandante dio orden a su banco para que devolviera el recibo girado, lo comunicó a la empresa mediante una nueva comunicación de correo electrónico y le solicitó que le indicara una cuenta bancaria a la que transferir los 231,92 euros pendientes de abonar.
Asimismo, el demandante remitió a la empresa una copia del contrato donde figuraba la cláusula que le permitía desistir del contrato en cualquier momento, no obstante lo cual la empresa tampoco atendió esa comunicación y dio cuenta de los datos personales del abogado al fichero de solvencia patrimonial 'Asnef', del que es responsable la segunda empresa condenada, siendo incluido como moroso en dicho fichero por adeudar 1.199,60 euros.
Tras enterarse de su inclusión en este fichero, el letrado dirigió una comunicación a la empresa responsable del mismo ejercitando el derecho de cancelación de sus datos personales, en la cual además adjuntaba el contrato donde aparecía la posibilidad de desistimiento unilateral del contrato y manifestaba que un Banco le había denegado la renovación de un aval bancario como consecuencia de estar incluido en el fichero de morosos 'Asnef', lo que le había impedido renovar el contrato de arrendamiento de vivienda para un empleado.
El 26 de abril de 2010, la empresa responsable del fichero le comunicó que los datos incluidos en el mismo "han sido confirmados" por la empresa con la que firmó el contrato de publicidad y que, por ello, no podía atender su solicitud de cancelación, por lo que el abogado interpuso una demanda contra ambas empresas en la que pedía una indemnización de 30.000 euros al entender que habían cometido una intromisión ilegítima en su derecho al honor, la intimidad y la propia imagen.
La sentencia de primera instancia estimó en parte la pretensión dirigida contra la empresa de publicidad, declaró que esta incurrió en una intromisión ilegítima en el derecho fundamental al honor del demandante y le impuso una indemnización de 5.000 euros en concepto de daño moral causado por la referida intromisión.
El juzgado absolvió libremente a la empresa responsalbe de los ficheros de morosos porque la LOPD y el RPD no le imponen la comprobación de la existencia, certeza y vencimiento de la deuda, al contrario de lo que ocurre con el acreedor informante, intentó notificar al demandante la inclusión de sus datos en el fichero, y cuando este solicitó la cancelación de sus datos, se dirigió a la agencia de publicidad, que confirmó la existencia de la deuda. Impuso al demandante el pago de las costas causadas.
La audiencia provincial desestimó el recurso de apelación. Consideró que no podía analizar la solicitud de indemnización por daños patrimoniales porque era un hecho nuevo, ya que no fue solicitado en la demanda. Asimismo, rechazó la solicitud de condena solidaria de Equifax al considerar que esta « intentó averiguar la realidad de la deuda que era base del dato publicado, ajustándose así a la legalidad que le vincula, representada por el Reglamento de Desarrollo de la LOPD. Hay que afirmar, otra vez, que la comprobación de la existencia, certeza y vencimiento de las deudas controvertidas no son de la incumbencia del titular del registro por exceder lógicamente de sus competencias ».
La sentencia del Tribunal Supremo
En el tercer motivo de su recurso, el recurrente cuestiona la afirmación de la sentencia de apelación en el sentido de que la legalidad que vincula a la empresa gestora del registro de morosos en relación a los hechos es el Real Decreto núm. 1720/2007, de 21 de diciembre, que aprueba el reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, y que dicho reglamento excluye la responsabilidad de dicha gesora.
Sobre este extremo, el TS establece el fundamento de derecho octavo de su sentencia:
OCTAVO.- El tratamiento de datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor
1.- Los datos referidos al incumplimiento de obligaciones dinerarias, como son los del caso objeto de este recurso, merecen un tratamiento específico en la ley, por las especiales características que presentan. Conforme al art. 29 LOPD podrán tratarse no solo los datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento (apartado primero del precepto), sino también los relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, notificándoselo a los interesados cuyos datos se hayan registrado en ficheros (apartado segundo).
2.- Como regla general, el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado (art. 6.1 LOPD , 7.a de la Directiva y 8.2 de la Carta de Derechos Fundamentales de la Unión Europea). Como excepción, dicho tratamiento puede realizarse sin el consentimiento del afectado cuando ello sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que la ley lo disponga (art. 6.1 LOPD ) y no prevalezca el interés o los derechos y libertades fundamentales del interesado (art. 7.f de la Directiva), lo que encaja en el "otro fundamento legítimo previsto por la ley", como justificación alternativa al consentimiento de la persona afectada, previsto en el art. 8.2 de la Carta de Derechos Fundamentales de la Unión Europea.
La previsión del art. 29.2 LOPD de que pueden tratarse los datos personales relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor sin el consentimiento del afectado se acoge a esta excepción.
Por tanto, lo que permitiría que los datos personales del demandante hubieran sido tratados en un fichero de los denominados "registros de morosos" (como los ha denominado esta sala en varias sentencias), esto es, de incumplimiento de obligaciones dinerarias, con base en la cesión de datos realizada por el acreedor y sin necesidad del consentimiento del interesado, no es, como se afirma en la instancia, que su condición de profesional « le sitúa al margen de la Ley Orgánica de Protección de Datos en cuanto a la necesidad de recabar expresamente su consentimiento », sino la previsión expresa del art. 29.2 LOPD para este tipo de ficheros, y la posibilidad excepcional que establece tanto la normativa convencional internacional y la comunitaria como la propia LOPD de que los datos personales sean tratados sin consentimiento del interesado cuando responda a una finalidad legítima prevista en la ley y se respeten los derechos del interesado.
3.- Si la inclusión de datos personales en un fichero se hace excepcionalmente sin el consentimiento del afectado, y si además, por la naturaleza del fichero, la inclusión en él de los datos personales del afectado puede vulnerar, además del derecho del art. 18.4 de la Constitución, otros derechos fundamentales y causar graves daños morales y patrimoniales a los afectados, no pueden rebajarse las exigencias en cuanto a calidad de los datos ni establecerse restricciones u obstáculos adicionales de los derechos de información, oposición, cancelación y rectificación que le reconocen con carácter general el Convenio, la Directiva y la11 LOPD, por cuanto que ello supondría restringir de un modo injustificado el derecho de control sobre los propios datos personales que los citados preceptos constitucionales, convencionales internacionales y comunitarios, reconocen a todo ciudadano.
Ningún precepto de la LOPD establece para este tipo de ficheros sobre incumplimiento de obligaciones dinerarias excepción alguna a los principios generales sobre calidad de los datos o a la obligación del responsable del fichero o del tratamiento de rectificar los datos que no respondan a estos principios. Tampoco establece minoración o restricción alguna de los derechos de información, oposición, cancelación y rectificación del afectado.
Una restricción injustificada de estos derechos del afectado sería contraria a la regulación constitucional, convencional internacional y comunitaria del derecho a la protección de datos personales. La STC 292/2000, de 30 de noviembre , en su fundamento jurídico, consideró que los poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos, requieren para su efectividad que el interesado pueda oponerse a la posesión y uso de sus datos personales, requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos.
Por tanto, no es posible que reglamentariamente se establezcan restricciones que desnaturalicen los derechos reconocidos al afectado por la LOPD en desarrollo del art. 18.4 de la Constitución. Las normas del RPD han de interpretarse de modo que se respete el derecho fundamental a la protección de datos personales tal como resulta de su regulación constitucional, convencional internacional, comunitaria y legal, puesto que las normas reglamentarias deben ser interpretadas y aplicadas según los preceptos y principios constitucionales, conforme a la interpretación de los mismos que resulte de las resoluciones dictadas por el Tribunal Constitucional (art. 5.1 de la Ley Orgánica del Poder Judicial ), hasta el punto de que si por vía interpretativa no pudiera lograse la conformidad de dichas normas reglamentarias con la Constitución, el Convenio, la Directiva y la LOPD, no podrían ser aplicadas ( art. 6 de la Ley Orgánica del Poder Judicial ).
4.- Tanto el juzgado como la audiencia han fundado la absolución de E. en el cumplimiento por esta entidad de la normativa reglamentaria. La audiencia afirma que « la comprobación de la existencia, certeza y vencimiento de las deudas controvertidas no son de la incumbencia del titular del registro por exceder lógicamente de sus competencias ».
La sala no comparte esta tesis. La interpretación de estas normas reglamentarias no puede llevar a que el responsable del "registro de morosos", esto es, la empresa titular del fichero común en el que se incluyen los datos sobre incumplimientos de obligaciones dinerarias procedentes de los ficheros de distintos acreedores, esté excluido de la obligación de velar por la calidad de los datos, y, por tanto, de cancelar o rectificar de oficio los que le conste que sean no pertinentes, inexactos o incompletos. Como responsable del tratamiento de los datos obrantes en el registro de morosos del que es titular, le compete atender la solicitud de cancelación o rectificación del afectado cuando la misma sea suficientemente fundada porque los datos incluidos en el fichero no respetan las exigencias de calidad derivadas de las normas reguladoras del derecho. Y por las mismas razones ha de responder de los daños y perjuicios causados al afectado cuando se hayan incumplido estas obligaciones.
5.- En los "registros de morosos" regulados por el art. 29.2 LOPD ha de distinguirse entre los ficheros de los acreedores, que estos forman con base en los datos sobre incumplimientos contractuales de sus clientes obtenidos de su propia actividad, y el fichero común del que es responsable la empresa dedicada a información de solvencia patrimonial, que es el que constituye propiamente el "registro de morosos", que se forma con los datos comunicados por las empresas acreedoras y puede ser consultado por las empresas asociadas.
El art. 44.3.1º RPD prevé que cuando el interesado ejercite sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un fichero regulado por el artículo 29.2 LOPD , si la solicitud se dirige al titular del fichero común, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva, y si no recibe contestación por parte de esta entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.
Esta previsión reglamentaria no puede interpretarse de modo que cuando el interesado haya ejercitado sus derechos de rectificación o cancelación de forma motivada y fundamentada, justificando ante el titular del fichero común el incumplimiento de los requisitos de calidad de los datos, este no pueda y no deba rectificar o cancelar los datos no pertinentes, inexactos o incompletos a no ser que así se lo indique el acreedor que le ha suministrado los datos. Esta interpretación supondría una restricción injustificada del derecho a la protección de datos del interesado y es por tanto inatendible. Ha de tenerse en cuenta que el responsable del fichero común es quien comunica al afectado que sus datos han sido incluidos en el fichero, notificándole una referencia de tales datos e informándole de su derecho a recabar información de la totalidad de los datos, por lo que será frecuente que el derecho de rectificación o cancelación se ejercite frente al responsable del fichero común, que es el que constituye el "registro de morosos" y tiene una mayor potencialidad ofensiva pues puede ser consultado por terceros.
Ciertamente, el acreedor o quien actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos en la LOPD, pues es él quien razonablemente puede comprobar los requisitos relativos a la existencia, veracidad y pertinencia de los datos, al ser parte en la relación contractual en la que se produjo el incumplimiento, y así lo ha declarado esta sala en su sentencia num. 226/2012, de 9 de abril.
Pero una vez que el interesado ejercita el derecho de rectificación o cancelación ante el responsable del registro de morosos, si la reclamación se realiza de manera documentada y justificada, el responsable de este fichero ha de satisfacer este derecho en los términos previstos en el art. 16 LOPD. No puede limitarse a trasladar la solicitud al acreedor, para que este decida, y seguir acríticamente las indicaciones de este, dando una respuesta estandarizada al afectado al que niega la cancelación que es lo realizado por E..
No se entendería, además, qué sentido tiene que el art. 38.3 del Reglamento imponga al acreedor la obligación de conservar la documentación acreditativa de los requisitos precisos para incluir los datos del deudor en el registro de morosos, a disposición no solo de la Agencia Española de Protección de Datos sino también del responsable del fichero común, si este cumple con dar traslado al acreedor del derecho de rectificación o cancelación ejercitado por el afectado y puede mantener los datos en el fichero tan sólo con que el acreedor así se lo indique, sin estar obligado a valorar la solicitud de cancelación ejercitada y, en su caso, pedir al acreedor la documentación que soporta la inclusión de los datos en el registro de morosos para comprobar su pertinencia, suficiencia y adecuación.
Debe tomarse en consideración que el tratamiento de datos personales que puede causar daños más graves al interesado no es el efectuado por el acreedor en su fichero comercial, sino el realizado por la empresa titular del registro de morosos, cuyo fichero común puede ser consultado por un número indeterminado de empresas asociadas, con el descrédito que ello puede suponer para el afectado, provocando la intromisión ilegítima en su derecho al honor y daños morales y patrimoniales.
6.- La comunicación en la que el demandante ejercitó su derecho de cancelación de los datos frente a E., responsable del fichero Asnef, acreditaba de forma razonable y suficiente que su inclusión en el registro de morosos era improcedente, puesto que justificaba que había desistido del contrato en virtud de una previsión contractual que lo permitía, y había actuado diligentemente para pagar la cantidad adeudada, que era inferior a la que pretendía cargarle Y., y desde luego muy inferior a la cantidad que en el registro de morosos de atribuía a la deuda pendiente.
En tales circunstancias, no bastaba a E. con adoptar una actitud pasiva, limitándose a pedir a Y. la confirmación de la procedencia de la inclusión de los datos, y negarse a satisfacer el derecho del interesado a la cancelación de sus datos tan solo porque el acreedor así se lo manifestara. Debió examinar la solicitud y dar una respuesta con base en el carácter fundado o no de la misma, solicitando en su caso a Y. que justificara la confirmación de los datos, no limitándose a ser un mero transmisor de la solicitud al acreedor.
7.- Debe recordarse que los datos personales objeto de tratamiento no solo han de ser veraces y exactos, sino también adecuados y pertinentes. Dado que el art. 29.4 LOPD solo permite registrar y ceder datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados, una deuda que no se paga porque el supuesto deudor objeta seriamente su procedencia y exigibilidad (y así lo justifica al ejercitar el derecho de cancelación o rectificación) no es determinante para enjuiciar la solvencia económica del afectado, incluso aunque luego se diera la razón al acreedor en la reclamación judicial que pudiera entablarse, porque la causa del impago no es la insolvencia del deudor sino su disconformidad con la existencia o exigibilidad de la deuda.
No se trata tanto de que el responsable del fichero común enjuicie la existencia, certeza y vencimiento de la deuda como la pertinencia de los datos para enjuiciar la insolvencia del afectado, a la vista de los términos en que haya sido ejercitado el derecho de rectificación o de cancelación.
La sentencia de la Sala 3ª del Tribunal Supremo, Secc. 6ª, de 15 de julio de 2010 , anuló el apartado 2 del art. 38 RPD, que preveía la no inclusión en el fichero (o la cancelación si ya estaban incluidos) de los datos personales « sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores ». La sentencia consideró que este inciso del precepto reglamentario desarrollaba la LOPD « en términos tales que origina una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores ». Por tanto, la anulación de este inciso del RPD llevada a cabo por esta sentencia responde exclusivamente a exigencias propias del Derecho administrativo sancionador.
Pero la reclamación de responsabilidad civil ante los órganos de la jurisdicción civil no supone la imposición de una sanción y responde a principios diferentes. Por tanto, a efectos de exigir responsabilidad civil por infracción del derecho a la protección de datos y, en su caso, intromisión ilegítima en el derecho al honor y causación de daños morales y patrimoniales, ha de considerarse que la aportación por el interesado a los responsables del fichero de una justificación razonable de falta de pertinencia de los datos incluidos en el fichero es suficiente para que se dé satisfacción a su derecho a la cancelación de los datos.
8.- E. no es un mero encargado del tratamiento de datos que actúa por cuenta y bajo las órdenes de un responsable del fichero, en los términos previstos en el art. 3.g LOPD , sin autonomía en la toma de decisiones. Por el contrario, es responsable del fichero Asnef y del tratamiento de los datos en él incluidos en los términos previstos en el art. 2.d de la Directiva y 3.d LOPD, y como tal, debió dar respuesta fundada al legítimo ejercicio del derecho de cancelación por parte del interesado cuyos datos se habían incluido indebidamente en el fichero de su responsabilidad.
No es aceptable la tesis de que el responsable del fichero común carece de disponibilidad sobre los datos registrados y, por tanto, de responsabilidad. El art. 6.2 de la Directiva establece que « corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1 », esto es, que los datos sean adecuados, pertinentes y no excesivos, que sean exactos y que se tomen todas las medidas razonables para que los datos inexactos o incompletos sean suprimidos o rectificados. Y, como declara la reciente sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, asunto C 131/12, en su párrafo 77, « el interesado puede dirigir las solicitudes con arreglo a los artículos 12, letra b ), y 14, párrafo primero, letra a), de la Directiva 95/46 directamente al responsable del tratamiento, que debe entonces examinar debidamente su fundamento y, en su caso, poner fin al tratamiento de los datos controvertidos ».
Como responsable que es de un fichero de datos automatizado que se forma sin consentimiento de los afectados, y que por la naturaleza de los datos contenidos en el mismo, puede provocar serias vulneraciones de derechos fundamentales de los interesados y causarles graves daños morales y patrimoniales, E. ha de dar cumplida satisfacción al ejercicio por los interesados de los derechos de rectificación y cancelación, cuando, como en el caso enjuiciado, ello puede realizarse con base en una solicitud motivada y justificada.
No puede limitarse a seguir las indicaciones del acreedor que facilitó los datos, ha de realizar su propia valoración del ejercicio del derecho de rectificación o cancelación realizado por el afectado, y darle una respuesta fundada.
Lo contrario implicaría una restricción injustificada del derecho a la protección de datos de los interesados cuyos datos sean incluidos en un registro de los previstos en el art. 29.2 LOPD.
Al limitarse a seguir acríticamente las indicaciones del acreedor y mantener los datos del demandante en un registro de morosos, pese a la solicitud de cancelación motivada y justificada que el demandante le envió, E. vulneró su derecho fundamental a la protección de datos, y con ello, participó en la intromisión en su derecho al honor consecuencia de su indebida inclusión en el registro de morosos. Ello le hace responsable de tal vulneración junto con Y., lo que conlleva su condena solidaria al pago de la indemnización.
9.- Lo expuesto lleva a la estimación de este motivo y, consecuentemente, a la estimación del recurso de apelación en cuanto a la revocación del pronunciamiento absolutorio de E. y del consiguiente pronunciamiento condenatorio del demandante en las costas de primera instancia respecto de dicha entidad, y en las de apelación."
