El artículo 36 de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal, al definir las funciones de la Agencia de Protección de Datos, incluye en su apartado c) la de dictar, en su caso y sin perjuicio de las competencias de otros órganos, las instrucciones precisas para adecuar los tratamientos automatizados a los principios de dicha Ley. Disposición que tiene su complemento en el artículo 5.c) del Estatuto de la Agencia, aprobado por Real Decreto 428/1993, de 26 de marzo , que señala entre las funciones de la misma la de dictar las instrucciones y recomendaciones precisas para adecuar los tratamientos automatizados a los principios de la Ley Orgánica.
El artículo 28 de la misma se refiere a la prestación de servicios de información sobre solvencia patrimonial y crédito desde una doble perspectiva. Por un lado, determina que quienes se dediquen a la prestación de servicios sobre la solvencia patrimonial y el crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público o procedentes de informaciones facilitadas por el afectado o con su consentimiento. Por otro, regula el tratamiento de datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias señalando que podrán tratarse dichos datos siempre que sean “facilitados por el acreedor o por quien actúe por su cuenta o interés”.
Los primeros no se apartan de la regulación común que establece la Ley Orgánica; los segundos presentan, por el contrario, un conjunto de especialidades (excepción del principio del consentimiento tanto en la recogida del dato como en su tratamiento), que hacen necesario efectuar una serie de precisiones. Además, dentro de estos últimos, la realidad demuestra que coexisten perfectamente engarzados dos tipos de ficheros: Uno, el propio del acreedor, que se nutre de los datos personales que son consecuencia de las relaciones económicas mantenidas con el afectado, cuya única finalidad es obtener la satisfacción de la obligación dineraria, y otro, un fichero que se podría denominar común que, consolidando todos los datos personales contenidos en aquellos otros ficheros, tiene por finalidad proporcionar información sobre la solvencia de una persona determinada y cuyo responsable, al no ser el acreedor, no tiene competencia para modificar o cancelar los datos inexactos que se encuentran en aquellos.
En consecuencia, en uso de las facultades que tiene conferidas, la Agencia de Protección de Datos ha dispuesto:
CAPITULO I. Calidad de los datos objeto del tratamiento automatizado, forma y veces en que debe efectuarse la notificación y cómputo del plazo al que se refiere el artículo 28.3 de la Ley Orgánica
Norma primera. Calidad de los datos objeto de tratamiento.
1. La inclusión de los datos de carácter personal en los ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, a los que se refiere el artículo 28 de la Ley Orgánica 5/1992, deberá efectuarse solamente cuando concurran los siguientes requisitos:
a) Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
b) Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación.
2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará igualmente la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.
3. El acreedor o quien actúe por su cuenta e interés deberá asegurarse que concurren todos los requisitos exigidos en el número 1 de esta norma en el momento de notificar los datos adversos al responsable del fichero común.
4. La comunicación del dato inexistente o inexacto, con el fin de obtener su cancelación o modificación, deberá efectuarse por el acreedor o quien actúe por su cuenta al responsable del fichero común en el mínimo tiempo posible, y en todo caso en una semana. Dicho plazo es independiente del establecido en el artículo 15.2 del Real Decreto 1332/1994, de 20 de junio , y que se aplica al fichero del acreedor.
Norma segunda. Notificación de la inclusión en el fichero.
1. La notificación de la inclusión de datos personales en el fichero efectuada con posterioridad a la entrada en vigor de la Ley Orgánica 5/1992 se efectuará en la forma establecida en el artículo 28 de la misma.
2. Cuando se trate de datos personales incorporados al fichero con anterioridad a la entrada en vigor de la Ley Orgánica deberán notificarse al afectado en el menor plazo posible y, en todo caso, dentro del año siguiente contado desde la publicación de la presente Instrucción.
3. La inscripción en el fichero de la obligación incumplida se efectuará, bien en un solo asiento si fuese de vencimiento único, bien en tantos asientos como vencimientos periódicos incumplidos existan señalando, en este caso, la fecha de cada uno de ellos.
4. Se efectuará una notificación por cada deuda concreta y determinada con independencia de que ésta se tenga con el mismo o con distintos acreedores.
5. El responsable del fichero deberá adoptar las medidas organizativas y técnicas necesarias que permitan acreditar la realización material del envío de notificación y la fecha de entrega o intento de entrega de la misma.
6. La notificación se dirigirá a la última dirección conocida del afectado a través de un medio fiable e independiente del responsable del fichero.
Norma tercera. Cómputo del plazo de seis años que establece el artículo 28.3 de la Ley Orgánica.
El cómputo del plazo a que se refiere el artículo 28.3 de la Ley Orgánica se iniciará a partir del momento de la inclusión del dato personal desfavorable en el fichero y, en todo caso, desde el cuarto mes, contado a partir del vencimiento de la obligación incumplida o del plazo en concreto de la misma si fuera de cumplimiento periódico.
CAPITULO II. Medidas de seguridad
Norma cuarta. Forma de comprobación.
1. Los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán acreditar la efectiva implantación de las medidas de seguridad exigidas por el artículo 9.1 de la Ley Orgánica dentro del año siguiente a la publicación de la presente Instrucción. Para los ficheros que se inscriban con posterioridad a esta Instrucción, el plazo se computará a partir de la fecha en que aquélla se haya efectuado en el Registro General de Protección de Datos.
2. La implantación, idoneidad y eficacia de dichas medidas se acreditará mediante la realización de una auditoria, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, y la remisión del informe final de la misma a la Agencia de Protección de Datos.
3. La auditoria podrá ser realizada:
a) Por el departamento de auditoria interna del responsable del fichero, si cuenta con un departamento formalmente constituido, profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos.
b) Por un auditor externo, profesionalmente cualificado e independiente del responsable del fichero.
4. La auditoria deberá ser realizada de acuerdo con las normas y recomendaciones de ejercicio profesional aplicables en el momento de su ejecución.
5. El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles destinados a garantizar la integridad y confidencialidad de los datos personales almacenados o tratados, identificar sus deficiencias o insuficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basan los dictámenes alcanzados y recomendaciones propuestas.
6. Adicionalmente, los sistemas que almacenen o procesen información relativa al cumplimiento o incumplimiento de obligaciones dinerarias deberán someterse a una nueva auditoria tras la adopción de las medidas específicas que, en su caso, la Agencia determine, a resultas del informe inicial de auditoria. En todo caso, dichos sistemas deberán ser auditados periódicamente, a intervalos no mayores de dos años.
Norma final. Entrada en vigor.
La presente Instrucción entrará en vigor al día siguiente de su publicación en el “Boletín Oficial del Estado”.