| Informe | 2024-0013 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el proyecto de Real Decreto para modificar el Consejo Estatal de la PYME y el Observatorio de la Morosidad Privada
El informe de la Agencia Española de Protección de Datos (AEPD) analiza desde una perspectiva jurídica el proyecto de Real Decreto que modifica el Real Decreto 962/2013, regulador del Consejo Estatal de la Pequeña y Mediana Empresa (PYME) y el Observatorio Estatal de la Morosidad Privada. El objetivo principal es incluir en el Consejo a representantes de asociaciones especializadas en morosidad, tal como exige la disposición adicional undécima de la Ley 18/2022 y desarrollar normativamente el Observatorio creado por la disposición final sexta de la misma ley.
Objetivos y ámbito del proyecto normativo
El proyecto normativo se centra en dos ejes:
Modificación del Consejo Estatal de la PYME, incorporando nuevos miembros vinculados a la morosidad.
Regulación del Observatorio Estatal de la Morosidad Privada, que tendrá entre sus funciones principales:
El seguimiento de pagos y morosidad en operaciones comerciales.
La publicación anual de un listado de empresas morosas, siempre que cumplan con los requisitos legales (facturas impagadas superiores a 600.000 €, menos del 90% de pagos a proveedores en plazo, y que no puedan presentar cuentas de pérdidas y ganancias abreviadas).
La elaboración de códigos de buenas prácticas y campañas de concienciación.
El proyecto cuenta con 17 alegaciones interpuestas durante su trámite de audiencia (enero de 2024) y apunta un impacto positivo en economía y competencia, aunque genera cargas administrativas. No se han considerado alternativas regulatorias, pues la ley ya establece expresamente la creación del Observatorio (Ley 18/2022).
Análisis desde la perspectiva de protección de datos
El informe de la AEPD destaca que, aunque el proyecto persigue objetivos legítimos (lucha contra la morosidad y transparencia), debe garantizarse que no se vulneren derechos fundamentales, en particular el derecho a la protección de datos personales (artículo 18.4 de la Constitución española y RGPD).
Claves del análisis:
Ámbito de aplicación del RGPD y la LOPDGDD:
El Reglamento General de Protección de Datos (RGPD, UE 2016/679) y la Ley Orgánica 3/2018 (LOPDGDD) protegen exclusivamente datos de personas físicas, excluyendo a las personas jurídicas (empresas, asociaciones, etc.).
El listado de morosos que publicará el Observatorio solo incluirá sociedades con personalidad jurídica (requisito legal), por lo que no afectará a personas físicas ni a empresarios individuales.
Exclusión de datos personales sensibles:
Aunque el listado público incluye denominaciones sociales, números de identificación fiscal y deudas, no se publican datos personales de personas físicas (ej.: nombres de administradores), por lo que no cae bajo el ámbito del RGPD.
Doctrina constitucional y del TJUE:
La Sentencia del Tribunal Constitucional 76/2019 exige que cualquier injerencia en derechos fundamentales (incluido el de protección de datos) debe:
Basarse en una ley clara y precisa (reserva de ley).
Definir el alcance y garantías de la medida.
No delegar en normas de rango inferior la determinación de garantías.
Para el TJUE (sentencias como Schrems II o La Quadrature du Net), la ley que autoriza un tratamiento de datos debe definir por sí misma los límites e implicaciones, evitando fórmulas vagas.
Garantías exigibles:
Si el Observatorio publicara datos de personas físicas (ej.: deudores individuales), requeriría:
Autorización legal expresa (lo que no ocurre aquí).
Medidas especializadas para proteger los derechos de los afectados (ej.: derecho a la oposición, limitación en la publicación de datos sensibles).
Sin embargo, al limitarse a personas jurídicas, el proyecto cumple con la normativa, pues no somete a tratamiento datos personales de individuos.
Conclusiones y recomendaciones
El proyecto es conforme con la normativa de protección de datos siempre que:
El listado público se ciña estrictamente a información sobre empresas con personalidad jurídica (no autónomos o empresarios individuales).
No se publiquen datos personales de administradores o representantes de las sociedades.
Se establezcan mecanismos para que las empresas afectadas puedan presentar alegaciones antes de su inclusión en el listado final.
Riesgo si se amplía el ámbito:
Si el Observatorio incluyera datos de personas físicas (ej.: autónomos con deudas), sería necesaria una habilitación legal específica y garantías reforzadas para proteger sus derechos.
En tal caso, se vulneraría la reserva de ley (artículo 53.1 CE) y el RGPD, exigiendo una norma con rango legal que justifique el tratamiento.
Recomendaciones finales:
Asegurar que el procedimiento de elaboración del listado incluya un mecanismo de audiencia previa a las empresas afectadas (para ejercer el derecho de defensa).
Limitar la información publicada a los datos estrictamente necesarios (denominación social, NIF, importe de deudas), sin incluir información adicional que pueda permitir la identificación indirecta de personas físicas.
Evitar que la publicación del listado implique un perjuicio reputacional desproporcionado para las empresas, garantizando su derecho a la presunción de inocencia y al honor (artículo 18 CE).
Conclusión global
El proyecto de Real Decreto cumple con la normativa de protección de datos en su configuración actual, siempre que se respete el ámbito exclusivo de las personas jurídicas y se excluyan datos personales de individuos. Sin embargo, la AEPD advierte que cualquier ampliación en el futuro para incluir datos de personas físicas requeriría un marco legal más estricto, acorde con la jurisprudencia constitucional y europea. El informe subraya la importancia de detallar las garantías en la propia ley y evitar remisiones genéricas a normas secundarias, en línea con la doctrina del TC y el TJUE.