| Resolución | PS-00240-2019 |
| Firmado | 2021-04-23T00:00:00Z |
| Enlace | 📋 |
En el procedimiento sancionador PS/00240/2019 se investigó el tratamiento de datos personales realizado por EQUIFAX IBÉRICA, S.L. a través del denominado Fichero de Reclamaciones Judiciales y Organismos Públicos (FIJ). Este fichero recogía información sobre presuntas deudas de personas físicas, fundamentalmente con Administraciones Públicas, extraída de boletines y tablones oficiales.
Se formularon un total de 96 reclamaciones en las que los afectados denunciaban la inclusión de sus datos personales en el FIJ sin haber sido informados y sin haberse verificado adecuadamente la existencia de la deuda. Los datos eran extraídos de fuentes públicas como el Tablón Edictal Único o boletines oficiales, y se trataban sin haber informado previamente a los interesados, ni recabado su consentimiento ni verificado suficientemente la exactitud y pertinencia de la información.
Los hechos probados demuestran que EQUIFAX trató datos personales (nombre, apellidos, NIF y domicilio en algunos casos) vinculados a supuestas deudas, muchos de ellos tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD). También se constató que no se proporcionó a los interesados la información requerida por el artículo 14 RGPD, a pesar de que se trataban datos no obtenidos directamente de ellos.
Como resultado de la investigación, se concluyó que EQUIFAX cometió cinco infracciones muy graves del RGPD:
1. **Artículo 5.1.b) RGPD** – Vulneración del principio de limitación de la finalidad, al reutilizar datos personales de notificaciones públicas para una finalidad distinta: evaluar la solvencia patrimonial sin base jurídica adecuada.
2. **Artículo 6.1 RGPD, en relación con el 5.1.a)** – Ausencia de una base legal válida para el tratamiento de datos, infringiendo el principio de licitud y transparencia.
3. **Artículo 5.1.d) RGPD** – Infracción del principio de exactitud, ya que se trataron datos que no necesariamente reflejaban de forma precisa la situación real de deuda de los afectados.
4. **Artículo 5.1.c) RGPD** – Incumplimiento del principio de minimización de datos, al tratar más información de la estrictamente necesaria.
5. **Artículo 14 RGPD** – Falta de información a los interesados sobre el tratamiento de sus datos, cuando estos no se habían obtenido directamente de ellos.
Debido a que las infracciones derivaban de la inicial (limitación de la finalidad), se consideró que existía un concurso medial y se impuso una única sanción por la infracción más grave.
Se sancionó a EQUIFAX con una multa de 1.000.000 € y se ordenó:
* La **prohibición del tratamiento** de datos en el FIJ.
* La **supresión de todos los datos personales** tratados a través del FIJ, obtenidos de fuentes públicas.
Estas medidas se fundamentaron en los artículos 58.2.f), 58.2.g) y 58.2.i) del RGPD.