El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la licitud del tratamiento de datos en sistemas de información crediticia que contienen tanto información relativa al cumplimiento de obligaciones dinerarias (datos positivos) como al incumplimiento (datos negativos). El análisis se centra en la base jurídica del artículo 6.1.f) del Reglamento General de Protección de Datos (RGPD), que permite el tratamiento de datos cuando es necesario para satisfacer intereses legítimos del responsable o de un tercero, siempre que no prevalezcan los derechos y libertades fundamentales del interesado.
El informe destaca varias discrepancias y problemas con el uso de ficheros positivos:
1. **Confusión entre interés legítimo y finalidad del tratamiento**: El interés legítimo no debe confundirse con la finalidad del tratamiento. El interés legítimo debe ser específico y claro, y debe representar un beneficio real y actual para el responsable del tratamiento.
2. **Falta de regulación específica**: El legislador español no ha regulado los ficheros positivos como un supuesto de interés público, ni ha establecido una presunción de prevalencia del interés legítimo. Esto deja un vacío legal que el código de conducta intenta llenar, pero sin las garantías necesarias.
3. **Impacto en los derechos de los afectados**: Los ficheros positivos tienen una mayor incidencia en los derechos e intereses de los afectados, ya que incluyen información más detallada y completa sobre el historial crediticio de las personas. Esto puede llevar a una discriminación positiva, donde quienes no están en el fichero pueden ser considerados sospechosos.
4. **Garantías insuficientes**: El código de conducta no proporciona garantías específicas y concretas para mitigar los riesgos asociados al tratamiento de datos en ficheros positivos. Las garantías ofrecidas son genéricas y no responden a un análisis riguroso de riesgos.
5. **Derecho de oposición**: El código no refuerza el derecho de oposición de los afectados, lo cual es crucial para equilibrar el interés legítimo del responsable con los derechos de los interesados.
6. **Acceso al fichero**: El acceso al fichero está mal definido, permitiendo consultas que no están justificadas por una relación contractual previa o una solicitud específica del cliente.
El informe concluye que, en ausencia de una regulación legal clara y detallada que establezca las garantías necesarias, no puede considerarse prevalente el interés legítimo del responsable o de terceros sobre los derechos y libertades fundamentales de los afectados. Por lo tanto, el tratamiento de datos personales en ficheros positivos no puede ampararse en el interés legítimo del responsable o del tercero. Se recomienda que el legislador regule de manera precisa y detallada los ficheros positivos, estableciendo las obligaciones, garantías y derechos de los afectados para proteger adecuadamente su derecho fundamental a la protección de datos.