El Informe 0280/2012 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la aplicación de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, a un sistema específico de evaluación de solvencia. El informe se centra en la validez del procedimiento descrito para conferir representación a una entidad consultante por parte de un afectado, permitiendo así el acceso a ficheros de solvencia patrimonial y crédito.
El sistema en cuestión implica varios pasos: un potencial acreedor (tercero) facilita datos personales del afectado a la consultante, quien luego envía un correo electrónico con un enlace a un formulario. El afectado completa el formulario y recibe una clave por SMS para acceder a un contrato en línea, donde otorga poderes de representación a la consultante para acceder a los ficheros de solvencia. La consultante, con esta información, elabora un informe de solvencia que se facilita tanto al acreedor como al afectado.
El informe destaca varias cuestiones clave:
1. **Legitimación para el Tratamiento de Datos**: La consultante debe contar con la adecuada legitimación para tratar los datos del afectado. Esto implica que el potencial acreedor debe tener la autorización del afectado para transmitir sus datos a la consultante.
2. **Derecho de Acceso del Afectado**: El afectado debe tener acceso completo a la información obtenida de los ficheros de solvencia, no solo al informe final elaborado por la consultante. Esto asegura el cumplimiento del derecho de acceso establecido en la Ley Orgánica 15/1999.
3. **Autenticidad del Apoderamiento**: El procedimiento descrito no garantiza la autenticidad del apoderamiento otorgado por el afectado. La AEPD señala que el sistema no permite verificar que la declaración de voluntad ha sido efectivamente realizada por el afectado, lo que plantea dudas sobre la validez del apoderamiento.
4. **Firma Electrónica**: La AEPD analiza si el sistema de firma electrónica utilizado puede ser considerado suficiente para acreditar la identidad del afectado y la autenticidad del apoderamiento. Concluye que, por sí solo, el sistema no es suficiente, ya que no permite verificar la autenticidad de las declaraciones de voluntad.
5. **Documentación Identificativa**: Para que el procedimiento sea conforme a la Ley Orgánica 15/1999, se debe acompañar la documentación acreditativa de la representación conferida con una copia del documento nacional de identidad o equivalente del afectado.
En resumen, el informe subraya la necesidad de que el procedimiento descrito incluya mecanismos adicionales para garantizar la autenticidad del apoderamiento y el acceso completo del afectado a la información obtenida. La AEPD concluye que, sin estos elementos, el procedimiento no cumple con los requisitos legales establecidos en la normativa de protección de datos.