Multa de 50.000 euros a una empresa por incluir a una persona en un fichero de morosos por una deuda que no contrajo

Como consecuencia de esta actuación y de que el afectado había sido denunciado por la empresa en un juzgado de primera instancia (aunque la denuncia fue desestimada y fue absuelto), el denunciante reclamó ante la AEPD al considerar que se había vulnerado el artículo 6 del Reglamento General de Protección de Datos, que hace referencia a la falta de legitimación en el tratamiento de sus datos personales. Es decir, era necesario el consentimiento del afectado para que fuera legal y, sobre todo, debió haber sido informado en el momento de firmar el contrato o de reclamar el pago de que iba a ser incluido en un fichero de morosos. «La conducta de la parte reclamada contraria al principio de licitud ha consistido en comunicar a un sistema de información crediticia (el fichero ASNEF) una deuda que, respecto al supuesto deudor, el reclamante, no era cierta, ni vencida ni exigible, como requiere el artículo 20.1 de la LOPDGDD para que sea de aplicación la presunción 'iuris tantum' de prevalencia del interés legítimo del responsable, sin acreditar la existencia de tal interés legítimo ni la ponderación legalmente exigible», recoge la resolución.

Por otra parte, la Agencia Española de Protección de Datos también, a efectos de fijar el importe de la sanción, estima la «evidente» vinculación entre la actividad empresarial y el tratamiento de datos personales de clientes o de terceros. En este sentido, alude a la sentencia de la Audiencia Nacional de 17/10/2007 (rec. 63/2006), en la que, respecto de entidades cuya actividad lleva aparejado en continuo tratamiento de datos de clientes, indica que «… El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto».