El perdón es más caro que el permiso (I)

En contradicción con la máxima empresarial que reza “vale más pedir perdón que pedir permiso” (en clara referencia a que los perjuicios derivados de una actividad ilícita suelen ser inferiores a los beneficios obtenidos), inauguramos esta sección del blog para concienciar a las empresas de que, en protección de datos, esta máxima no tiene fundamento, ni siquiera cuando la infracción se comete por accidente o imprudencia.

Principio de Calidad de los Datos

El artículo 4 de la LOPD, referente al Principio de Calidad de los Datos, prohíbe, entre otras cosas, tratar datos obsoletos o inexactos.

Algo que tradicionalmente se hubiese salvado con una disculpa más o menos formal, y quizá una pequeña compensación económica, puede convertirse en una sanción de 60.000 euros, como la que recayó sobre Bankinter en el Procedimiento Sancionador PS/00173/2009.

Un error administrativo al modificar un código de cuenta corriente sobre el que operaba una tarjeta de crédito, hizo creer al personal de Bankinter que D. R.R.R. adeudaba la cantidad de 183,02 euros, por lo que le incluyeron en un fichero de morosos sin exigir una deuda cierta, vencida y exigible.

“En el presente caso, ha quedado acreditado que Bankinter instó el alta de los datos relativos al denunciante en el fichero Asnef-Equifax y Badexcug-Experian sin haber acreditado que la deuda que se requiere de pago al denunciante es cierta, vencida y exigible de forma indubitada. El impago se produce por una tramitación defectuosa del cambio –comunicado por el afectado- de ccc de domiciliación de pagos de la tarjeta. La responsabilidad es solo de la entidad bancaria. En consecuencia, los datos sobre impagados asociados al afectado por la empresa de recobro primero y por los ficheros de insolvencia patrimonial después no son exactos y puestos al día.

Siendo esto así, Bankinter hizo uso de unos datos inexactos. Estos hechos son contrarios al principio de calidad de datos y, por tanto, contravienen lo dispuesto en el artículo 4.3 de la LOPD.”

La consecuencia de tratar datos inexactos es un incumplimiento del “cajón de sastre” del régimen sancionador de la LOPD, que es el artículo 44.3d):

“La infracción del artículo 4.3 de la LOPD se halla tipificada como grave en el artículo 44.3.d) de dicha norma, que considera como tal (grave), ‘Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.’”

En otras palabras, cualquier cosa que no esté sancionada expresamente como leve o muy grave, es grave… y en consecuencia…

“El Director de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: IMPONER a la entidad Bankinter SA, por una infracción del artículo 4.3 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros y veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.”

COMENTARIO: Evidentemente, no es agradable que a uno le incluyan en un fichero de morosos, y menos aún cuando es falso, pero lo cierto es que no hay forma de prevenir errores o accidentes en caso de tratamientos masivos de información, y resulta excesivo que un error suponga una sanción de 60.000 euros.

José Carlos Moratilla

Áudea Seguridad de la Información

www.audea.com