| Informe | 2023-0018 |
| Enlace | 📋 |
### **Resumen del informe jurídico de la AEPD sobre el Fichero Confirma (Referencia: 2023-0018)**
El informe jurídico de la Agencia Española de Protección de Datos (AEPD) evalúa la adecuación del **Fichero Confirma**, un sistema de prevención del fraude en solicitudes de operaciones, al **Reglamento General de Protección de Datos (RGPD)** y a la **Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de derechos digitales (LOPDGDD)**.
#### **Principales aspectos analizados**
1. **Rol de los intervinientes en el tratamiento de datos**
– Las **entidades usuarias** (adheridas al sistema) se consideran **corresponsables del tratamiento** (artículo 26 RGPD), dado que determinan conjuntamente los fines y medios del tratamiento para prevenir el fraude, mediante la comparación de solicitudes de operaciones.
– **Confirma Sistemas de Información, S.L.** (proveedora de la plataforma tecnológica) se mantiene como **encargada del tratamiento**, al no perseguir un fin propio, sino prestar un servicio técnico bajo instrucciones documentadas de las entidades usuarias.
– Se sugiere ajustar la terminología del sistema («Fichero Confirma» → «Sistema Confirma») para alinearlo con el RGPD, eliminado conceptos como «responsable del fichero», que no tienen encaje en la normativa actual.
2. **Ampliación de plazos de conservación de datos**
– La consulta propone ampliar los plazos:
– De **1 a 3 años** para solicitudes generales.
– De **2 a 5 años** para solicitudes incongruentes o vinculadas.
– La AEPD considera **justificada** esta ampliación, basada en estudios que indican que el fraude puede detectarse hasta 5 años después. No se vulnera el **principio de exactitud** (la vigencia de los datos no altera su veracidad), pero sí el de **limitación de conservación** (plazos deben ser proporcionales a la finalidad).
– Se subraya la necesidad de garantizar los derechos de los afectados (rectificación, supresión) y evaluar riesgos (ej.: datos desactualizados por cambios de domicilio o empleo).
3. **Nuevos estados de las solicitudes**
– **Estado «posible suplantación de identidad»**:
– Se justifica por su alta incidencia en el fraude (64% de los casos).
– No afecta al principio de licitud (base jurídica: interés legítimo del RGPD, artículo 6.1.f), siempre que se apliquen garantías suficientes (ej.: verificación rigurosa de identidad).
– Plazo de conservación: **5 años**.
– **Estado temporal «en revisión»**:
– Evaluación de irregularidades **tras la concesión** de la operación (ej.: impagos, suplantaciones tardías).
– Solo aplicable si el titular es ilocalizable y durante **6 meses** tras la concesión.
– No vulnera los principios de **limitación de finalidad** ni **minimización**, al estar claramente delimitado (finalidad exclusiva: prevención del fraude).
4. **Consulta permanente de datos**
– La propuesta de permitir consultas **toda la vida de la operación** se considera **no conforme**:
– Extendería el tratamiento más allá de la finalidad original, vulnerando principios del RGPD (finalidad, minimización, limitación de conservación).
– Podría implicar una **vigilancia injustificada** sin base legal clara. Se sugiere limitar las consultas a plazos determinados (ej.: durante la vida útil del préstamo).
#### **Conclusiones y recomendaciones**
– **Seguridad jurídica**: Se recomienda actualizar el Reglamento del sistema para reflejar los roles (corresponsabilidad, encargado) y garantizar transparencia (comunicación clara a los afectados).
– **Principios del RGPD**: Las modificaciones propuestas son viables, pero deben alinearse con:
– **Transparencia**: Informar a los afectados sobre el tratamiento (artículos 13-14 RGPD).
– **Proporcionalidad**: Asegurar que las medidas (plazos, nuevos estados) no exceden lo necesario.
– **Evaluación de riesgos**: Realizar análisis de impacto (DPIA) si los tratamientos implican altos riesgos (artículo 35 RGPD).
– **Base jurídica**: El tratamiento se sustenta en el **