El Informe 0376/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de un procedimiento de recobro de impagados con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal. La consulta se centra en una empresa de recuperación de impagados que contrata a otra para buscar números de teléfono de deudores no localizados. Sin embargo, en muchos casos, los números proporcionados corresponden a personas diferentes, lo que lleva a la empresa de recobro a facilitar el DNI y la información de la deuda durante las llamadas telefónicas.
El informe destaca que los datos personales, como el número de teléfono, el DNI y la información sobre deudas, están protegidos por la Ley Orgánica 15/1999. La comunicación de estos datos a una tercera empresa para la búsqueda de números de teléfono constituye una cesión de datos, que requiere el consentimiento previo del interesado o debe estar amparada por alguna de las excepciones legales establecidas.
El artículo 12 de la Ley Orgánica 15/1999 permite el acceso de un tercero a los datos cuando dicho acceso es necesario para la prestación de un servicio al responsable del tratamiento. Para que esto sea válido, la relación entre el responsable del tratamiento y el encargado del tratamiento debe estar regulada por un contrato que delimite claramente las instrucciones y el ámbito de actuación del encargado.
El informe también subraya que la recogida del número de teléfono del deudor constituye un tratamiento de datos, que debe estar amparado en el consentimiento del interesado o en alguna de las excepciones legales, como el acceso a fuentes públicas. Sin embargo, la comunicación durante la llamada telefónica de los datos relativos a la deuda y el DNI del deudor a un tercero no está amparada por ninguna de las excepciones del artículo 11.2 de la Ley Orgánica 15/1999, por lo que resulta contraria a la normativa de protección de datos.
En conclusión, el procedimiento seguido por la empresa de recobro no es conforme a la Ley Orgánica 15/1999, ya que la cesión de datos personales sin el consentimiento del interesado o sin estar amparada por alguna de las excepciones legales es ilegal. La AEPD recomienda que se obtenga el consentimiento previo de los interesados o que se ajusten los procedimientos a las exigencias legales para garantizar la protección de los datos personales.