Civil – Personas. Vulneración del derecho al honor por inclusión indebida en un registro de morosos. Ámbito subjetivo de aplicación de la normativa de protección de datos. Régimen de obligaciones y responsabilidad del responsable del fichero común.

Sentencia del Tribunal Supremo de 21 de mayo de 2014 (D. Rafael Sarazá Jimena).

[Ver resolución completa en Tirant On Line Premium. http://www.tirantonline.com/tol]

SÉPTIMO.-Decisión del motivo. Normativa sobre protección de datos personales, ámbito de aplicación y principios rectores

1.- Las demandadas, hoy recurridas, niegan que sea aplicable la normativa sobre protección de datos de carácter personal, en concreto la LOPD y su Reglamento de desarrollo, porque el demandante es un empresario. Pese a ello, afirman haber cumplido las exigencias de tal normativa.

2.- D. Gerardo ha interpuesto una demanda de protección jurisdiccional de los derechos fundamentales, en la que solicita la protección de sus derechos fundamentales al honor, a la intimidad y la propia imagen, protegidos en el art. 18.1 de la Constitución, y la indemnización de los daños sufridos por la intromisión ilegítima del mismo, intromisión que se habría producido a su vez como consecuencia de la vulneración de su derecho fundamental a la protección de datos de carácter personal, protegido en el art. 18.4 de la Constitución, al ser incluido indebidamente en un registro de morosos.

La jurisprudencia de esta sala, desde la sentencia núm. 284/2009, de 24 de abril, ha afirmado que el derecho fundamental afectado por una actuación de esta naturaleza es exclusivamente el derecho al honor, y así lo han entendido los órganos de instancia.

La jurisprudencia constitucional y la ordinaria (sentencias núm. 733/2004, de 19 de julio, y núm. 226/2012, de 9 de abril, por todas) consideran incluido en la protección del honor el prestigio profesional, pues consideran que forma parte del marco externo de trascendencia en que se desenvuelve el honor.

No se cuestiona a esta altura del litigio que la actuación de Yell, al comunicar a Equifax los datos personales del demandante para que los incluyera en el registro de morosos Asnef, constituyó una infracción de su derecho al honor, y asimismo una infracción de su derecho a la protección de datos personales puesto que Yell no respetó los principios de calidad de los datos que informan la regulación de este derecho. La sentencia de primera instancia así lo declaró, y el pronunciamiento condenatorio de Yell por esta causa ha sido consentido.

Lo que se cuestiona en este motivo es si puede imputarse también tal intromisión ilegítima a Equifax, para lo cual es preciso determinar si esta empresa, titular y responsable del fichero Asnef, respetó el derecho a la protección de datos personales del demandante, para lo cual es necesario precisar qué normativa es aplicable, puesto que si la actuación de Equifax hubiera sido conforme a Derecho, la afectación que su conducta ha causado en el honor del demandante no constituiría una intromisión ilegítima.

3.- El art. 18.4 de la Constitución establece: « la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos ».

Esta sala ha abordado en varias sentencias la protección de este derecho, en relación con la del derecho al honor, frente a las intromisiones derivadas de la indebida inclusión en un registro de morosos.

Una de las últimas ha sido la num. 12/2014, de 22 de enero. En esta sentencia afirmábamos que el Tribunal Constitucional, desde sus primeras sentencias sobre esta cuestión, consideró que el art. 18.4 de la Constitución consagra tanto una institución de garantía de otros derechos, fundamentalmente el honor y la intimidad, como también un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos.

La STC 292/2000, de 30 de noviembre, definió el derecho fundamental a la protección de datos de carácter personal como « un derecho o libertad fundamental [...] frente a las potenciales agresiones a la dignidad y a la libertad de las personas provenientes de un uso ilegítimo del tratamiento mecanizado de datos lo que la Constitución llama la informática ».

Se trata, según el Tribunal Constitucional, del derecho de control sobre los datos relativos a la propia persona insertos en un programa informático, "habeas data" (STC 254/1993, de 20 de julio), que ha sido denominado como "libertad informática" en otras sentencias (SSTC 143/1994, 11/1998, 94/1998, 202/1999, y 292/2000). Afirma el Tribunal Constitucional en varias de estas sentencias que junto con un contenido negativo (limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos), este derecho fundamental tiene un contenido positivo: la atribución al afectado de determinadas posibilidades de actuación, de ciertas acciones para exigir a terceros un determinado comportamiento.

4.- Este derecho fue regulado de forma detallada en el Convenio núm. 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (en lo sucesivo, el Convenio), cuya importancia interpretativa a efectos de configurar el sentido y alcance del derecho fundamental recogido en el art. 18.4 de la Constitución fue reconocida por la citada STC 254/1993 . De acuerdo con su art. 1, la finalidad del Convenio es garantizar a cualquier persona física el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona.

El art. 5 del Convenio establece que los datos de carácter personal que fueran objeto de tratamiento automatizado deben ser adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado, exactos y si fuera necesario puestos al día. El art. 8 del Convenio establece como derechos de cualquier persona, entre otros, la comunicación al interesado de los datos personales que consten en el fichero en forma inteligible, y que este pueda obtener, llegado el caso, la rectificación de dichos datos o el borrado de los mismos, cuando se hayan tratado con infracción de, entre otros, los principios de adecuación, pertinencia, proporcionalidad y exactitud referidos en el art. 5 del Convenio.

5.- La normativa de la Unión Europea también ha concedido gran relevancia a la protección de datos de carácter personal y a los derechos de los ciudadanos en relación a tal cuestión, hasta el punto de que el art. 8 de la Carta de Derechos Fundamentales de la Unión Europea reconoce como fundamental el derecho a la protección de los datos de carácter personal.

A diferencia de lo que ocurre con la mayoría de los derechos fundamentales contenidos en tal carta, el legislador constituyente comunitario no se ha limitado a mencionar el derecho, sino que ha enunciado en el precepto su contenido esencial, al establecer en el párrafo 2º: « Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación ».

Este derecho ha sido también objeto de regulación en la Directiva 1995/46/CE, de 24 octubre del Parlamento Europeo y del Consejo de la Unión Europea (en lo sucesivo, la Directiva), de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

6.- Los elementos fundamentales que se repiten en la regulación contenida en esas normas (Convenio, Carta de Derechos Fundamentales y Directiva), y que se relacionan íntimamente entre sí, son dos: (i) exigencia de calidad en los datos personales objeto de tratamiento automatizado en ficheros, en sus aspectos de adecuación, pertinencia, proporcionalidad y exactitud; y (ii) concesión al afectado de un derecho de rectificación cuando sus datos personales hayan sido objeto de tratamiento sin respetar tales exigencias.

7.- La Directiva 1995/46/CE obligó a dictar una nueva ley orgánica de desarrollo del art. 18.4 de la Constitución que la traspusiera a derecho interno, ante la manifiesta insuficiencia e inadecuación de la anterior Ley Orgánica 5/1992. Esta nueva ley, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), es la aplicable en este caso al ser la que estaba en vigor cuando sucedieron los hechos objeto del recurso.

El Real Decreto 1720/2007, de 21 de diciembre, aprobó el Reglamento de desarrollo de la LOPD. Las sentencias de la sala de lo contencioso-administrativo del Tribunal Supremo de 15 de julio de 2010 han anulado algunos preceptos de dicho reglamento.

8.- La Carta de Derechos Fundamentales, el Convenio y el art. 18.4 de la Constitución no configuran el derecho a la protección de los datos personales como un derecho limitado a las personas que no sean comerciantes. La Carta concede tal derecho a « toda persona », el Convenio, a « cualquier persona física », y la Constitución, a « los ciudadanos ».

Asimismo, la LOPD, en su art. 2, al regular su ámbito de aplicación, no excluye del mismo a los comerciantes.

Por tanto, la regulación de tal derecho que resulta de tales normas superiores, y en concreto la relativa a los principios de calidad de los datos y los derechos de los interesados en relación al tratamiento de sus datos personales, resulta de aplicación a todos los ciudadanos, sean o no comerciantes o profesionales. Cuestión distinta es que algunos de los datos relativos a los comerciantes (el nombre comercial, el domicilio, el teléfono, las actividades empresariales, etc.) puedan ser objeto de tratamiento automatizado sin observar los requisitos y garantías de la normativa de protección de datos, al quedar fuera del ámbito de aplicación de la LOPD, por la finalidad a la que responde esta ley, y no afectar al derecho fundamental del art. 18.4 de la Constitución .

En consecuencia, la previsión del art. 2.3 RPD, cuando establece que « los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal », no puede suponer que las personas físicas que reúnan la condición de comerciante carezcan del derecho a la protección de datos personales reconocido en el Convenio, la Carta y la Constitución, y menos aún cuando este derecho esté en relación directa con la protección de su derecho al honor.

Tampoco puede suponer que estas personas queden excluidas del ámbito de aplicación de la LOPD, pues un reglamento no puede excluir de la protección de una ley orgánica de desarrollo de un derecho fundamental a quienes la Constitución, el Convenio, la Directiva y la propia ley orgánica no han excluido.

Como argumento de refuerzo, dicha exclusión no podría nunca interpretarse extensivamente, de modo que la exclusión referida a los datos relativos a empresarios individuales, cuando hagan mención a estos en su calidad de comerciantes, industriales o navieros, se haga extensiva a profesionales liberales, como es el caso del demandante, abogado en ejercicio.

9.- La recogida y tratamiento de datos de carácter personal, y la formación de ficheros con tales datos (entendiendo estos términos en el sentido de las definiciones contenidas en el art. 3 LOPD), han de estar regidos por los principios de adecuación, pertinencia, proporcionalidad y exactitud. Estos principios conforman lo que en la terminología de la normativa de protección de datos se denomina "calidad de los datos" (arts. 6 de la Directiva y 4 LOPD).

Los datos personales recogidos, tratados e incorporados al fichero han de ser exactos (art. 6.1.e de la Directiva y 4.3 LOPD), adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido (art. 6.1.d de la Directiva y 4.1 LOPD).

Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de que los afectados puedan ejercitar sus derechos de rectificación o cancelación, en línea con lo previsto en el art. 8 del Convenio, y serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados (art. 4.4 º y 5º LOPD).

10.- La persona cuyos datos personales son recogidos, tratados e incorporados a un fichero tiene derecho a obtener información, de forma inteligible, sobre sus datos de carácter personal sometidos a tratamiento (art. 12.a de la Directiva y 15 LOPD) así como a obtener la rectificación, cancelación y bloqueo de los datos cuyo tratamiento no se ajuste a las exigencias de la normativa de protección de datos personales, en particular cuando tales datos resulten inexactos o incompletos (art. 12.b de la Directiva y 16.1 LOPD), debiendo el responsable del tratamiento hacer efectivo dicho derecho en el plazo de 10 días (art. 16.1 LOPD), dando lugar la cancelación al bloqueo de los datos y debiendo el responsable del tratamiento notificar la rectificación o cancelación de los datos a aquellos a los que previamente hubieran sido comunicados los datos rectificados o cancelados (art. 16.3 y 4 LOPD).

11.- Si el responsable o el encargado del tratamiento no respetara las exigencias derivadas de los principios que regulan la calidad de los datos tratados, y como consecuencia de dicha infracción se causaran daños y perjuicios de cualquier tipo a los afectados, el art. 19 LOPD, en desarrollo del art. 23 de la Directiva, les reconoce el derecho a ser indemnizados.

OCTAVO.- El tratamiento de datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor

1.- Los datos referidos al incumplimiento de obligaciones dinerarias, como son los del caso objeto de este recurso, merecen un tratamiento específico en la ley, por las especiales características que presentan.

Conforme al art. 29 LOPD podrán tratarse no solo los datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento (apartado primero del precepto), sino también los relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés, notificándoselo a los interesados cuyos datos se hayan registrado en ficheros (apartado segundo).

2.- Como regla general, el tratamiento de los datos de carácter personal requiere el consentimiento inequívoco del afectado (art. 6.1 LOPD, 7.a de la Directiva y 8.2 de la Carta de Derechos Fundamentales de la Unión Europea). Como excepción, dicho tratamiento puede realizarse sin el consentimiento del afectado cuando ello sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que la ley lo disponga (art. 6.1 LOPD) y no prevalezca el interés o los derechos y libertades fundamentales del interesado (art. 7.f de la Directiva), lo que encaja en el "otro fundamento legítimo previsto por la ley", como justificación alternativa al consentimiento de la persona afectada, previsto en el art. 8.2 de la Carta de Derechos Fundamentales de la Unión Europea.

La previsión del art. 29.2 LOPD de que pueden tratarse los datos personales relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor sin el consentimiento del afectado se acoge a esta excepción.

Por tanto, lo que permitiría que los datos personales del demandante hubieran sido tratados en un fichero de los denominados "registros de morosos" (como los ha denominado esta sala en varias sentencias), esto es, de incumplimiento de obligaciones dinerarias, con base en la cesión de datos realizada por el acreedor y sin necesidad del consentimiento del interesado, no es, como se afirma en la instancia, que su condición de profesional « le sitúa al margen de la Ley Orgánica de Protección de Datos en cuanto a la necesidad de recabar expresamente su consentimiento », sino la previsión expresa del art. 29.2 LOPD para este tipo de ficheros, y la posibilidad excepcional que establece tanto la normativa convencional internacional y la comunitaria como la propia LOPD de que los datos personales sean tratados sin consentimiento del interesado cuando responda a una finalidad legítima prevista en la ley y se respeten los derechos del interesado.

3.- Si la inclusión de datos personales en un fichero se hace excepcionalmente sin el consentimiento del afectado, y si además, por la naturaleza del fichero, la inclusión en él de los datos personales del afectado puede vulnerar, además del derecho del art. 18.4 de la Constitución, otros derechos fundamentales y causar graves daños morales y patrimoniales a los afectados, no pueden rebajarse las exigencias en cuanto a calidad de los datos ni establecerse restricciones u obstáculos adicionales de los derechos de información, oposición, cancelación y rectificación que le reconocen con carácter general el Convenio, la Directiva y la LOPD, por cuanto que ello supondría restringir de un modo injustificado el derecho de control sobre los propios datos personales que los citados preceptos constitucionales, convencionales internacionales y comunitarios, reconocen a todo ciudadano.

Ningún precepto de la LOPD establece para este tipo de ficheros sobre incumplimiento de obligaciones dinerarias excepción alguna a los principios generales sobre calidad de los datos o a la obligación del responsable del fichero o del tratamiento de rectificar los datos que no respondan a estos principios. Tampoco establece minoración o restricción alguna de los derechos de información, oposición, cancelación y rectificación del afectado.

Una restricción injustificada de estos derechos del afectado sería contraria a la regulación constitucional, convencional internacional y comunitaria del derecho a la protección de datos personales. La STC 292/2000, de 30 de noviembre, en su fundamento jurídico, consideró que los poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos, requieren para su efectividad que el interesado pueda oponerse a la posesión y uso de sus datos personales, requiriendo a quien corresponda que ponga fin a la posesión y empleo de los datos.

Por tanto, no es posible que reglamentariamente se establezcan restricciones que desnaturalicen los derechos reconocidos al afectado por la LOPD en desarrollo del art. 18.4 de la Constitución . Las normas del RPD han de interpretarse de modo que se respete el derecho fundamental a la protección de datos personales tal como resulta de su regulación constitucional, convencional internacional, comunitaria y legal, puesto que las normas reglamentarias deben ser interpretadas y aplicadas según los preceptos y principios constitucionales, conforme a la interpretación de los mismos que resulte de las resoluciones dictadas por el Tribunal Constitucional (art. 5.1 de la Ley Orgánica del Poder Judicial), hasta el punto de que si por vía interpretativa no pudiera lograse la conformidad de dichas normas reglamentarias con la Constitución, el Convenio, la Directiva y la LOPD, no podrían ser aplicadas (art. 6 de la Ley Orgánica del Poder Judicial).

4.- Tanto el juzgado como la audiencia han fundado la absolución de Equifax en el cumplimiento por esta entidad de la normativa reglamentaria. La audiencia afirma que « la comprobación de la existencia, certeza y vencimiento de las deudas controvertidas no son de la incumbencia del titular del registro por exceder lógicamente de sus competencias ».

La sala no comparte esta tesis. La interpretación de estas normas reglamentarias no puede llevar a que el responsable del "registro de morosos", esto es, la empresa titular del fichero común en el que se incluyen los datos sobre incumplimientos de obligaciones dinerarias procedentes de los ficheros de distintos acreedores, esté excluido de la obligación de velar por la calidad de los datos, y, por tanto, de cancelar o rectificar de oficio los que le conste que sean no pertinentes, inexactos o incompletos. Como responsable del tratamiento de los datos obrantes en el registro de morosos del que es titular, le compete atender la solicitud de cancelación o rectificación del afectado cuando la misma sea suficientemente fundada porque los datos incluidos en el fichero no respetan las exigencias de calidad derivadas de las normas reguladoras del derecho. Y por las mismas razones ha de responder de los daños y perjuicios causados al afectado cuando se hayan incumplido estas obligaciones.

5.- En los "registros de morosos" regulados por el art. 29.2 LOPD ha de distinguirse entre los ficheros de los acreedores, que estos forman con base en los datos sobre incumplimientos contractuales de sus clientes obtenidos de su propia actividad, y el fichero común del que es responsable la empresa dedicada a información de solvencia patrimonial, que es el que constituye propiamente el "registro de morosos", que se forma con los datos comunicados por las empresas acreedoras y puede ser consultado por las empresas asociadas.

El art. 44.3.1º RPD prevé que cuando el interesado ejercite sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un fichero regulado por el artículo 29.2 LOPD, si la solicitud se dirige al titular del fichero común, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva, y si no recibe contestación por parte de esta entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.

Esta previsión reglamentaria no puede interpretarse de modo que cuando el interesado haya ejercitado sus derechos de rectificación o cancelación de forma motivada y fundamentada, justificando ante el titular del fichero común el incumplimiento de los requisitos de calidad de los datos, este no pueda y no deba rectificar o cancelar los datos no pertinentes, inexactos o incompletos a no ser que así se lo indique el acreedor que le ha suministrado los datos. Esta interpretación supondría una restricción injustificada del derecho a la protección de datos del interesado y es por tanto inatendible. Ha de tenerse en cuenta que el responsable del fichero común es quien comunica al afectado que sus datos han sido incluidos en el fichero, notificándole una referencia de tales datos e informándole de su derecho a recabar información de la totalidad de los datos, por lo que será frecuente que el derecho de rectificación o cancelación se ejercite frente al responsable del fichero común, que es el que constituye el "registro de morosos" y tiene una mayor potencialidad ofensiva pues puede ser consultado por terceros.

Ciertamente, el acreedor o quien actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos en la LOPD, pues es él quien razonablemente puede comprobar los requisitos relativos a la existencia, veracidad y pertinencia de los datos, al ser parte en la relación contractual en la que se produjo el incumplimiento, y así lo ha declarado esta sala en su sentencia num. 226/2012, de 9 de abril .

Pero una vez que el interesado ejercita el derecho de rectificación o cancelación ante el responsable del registro de morosos, si la reclamación se realiza de manera documentada y justificada, el responsable de este fichero ha de satisfacer este derecho en los términos previstos en el art. 16 LOPD . No puede limitarse a trasladar la solicitud al acreedor, para que este decida, y seguir acríticamente las indicaciones de este, dando una respuesta estandarizada al afectado al que niega la cancelación que es lo realizado por Equifax.

No se entendería, además, qué sentido tiene que el art. 38.3 del Reglamento imponga al acreedor la obligación de conservar la documentación acreditativa de los requisitos precisos para incluir los datos del deudor en el registro de morosos, a disposición no solo de la Agencia Española de Protección de Datos sino también del responsable del fichero común, si este cumple con dar traslado al acreedor del derecho de rectificación o cancelación ejercitado por el afectado y puede mantener los datos en el fichero tan sólo con que el acreedor así se lo indique, sin estar obligado a valorar la solicitud de cancelación ejercitada y, en su caso, pedir al acreedor la documentación que soporta la inclusión de los datos en el registro de morosos para comprobar su pertinencia, suficiencia y adecuación.

Debe tomarse en consideración que el tratamiento de datos personales que puede causar daños más graves al interesado no es el efectuado por el acreedor en su fichero comercial, sino el realizado por la empresa titular del registro de morosos, cuyo fichero común puede ser consultado por un número indeterminado de empresas asociadas, con el descrédito que ello puede suponer para el afectado, provocando la intromisión ilegítima en su derecho al honor y daños morales y patrimoniales.

6.- La comunicación en la que el demandante ejercitó su derecho de cancelación de los datos frente a Equifax, responsable del fichero Asnef, acreditaba de forma razonable y suficiente que su inclusión en el registro de morosos era improcedente, puesto que justificaba que había desistido del contrato en virtud de una previsión contractual que lo permitía, y había actuado diligentemente para pagar la cantidad adeudada, que era inferior a la que pretendía cargarle Yell, y desde luego muy inferior a la cantidad que en el registro de morosos de atribuía a la deuda pendiente.

En tales circunstancias, no bastaba a Equifax con adoptar una actitud pasiva, limitándose a pedir a Yell la confirmación de la procedencia de la inclusión de los datos, y negarse a satisfacer el derecho del interesado a la cancelación de sus datos tan solo porque el acreedor así se lo manifestara. Debió examinar la solicitud y dar una respuesta con base en el carácter fundado o no de la misma, solicitando en su caso a Yell que justificara la confirmación de los datos, no limitándose a ser un mero transmisor de la solicitud al acreedor.

7.- Debe recordarse que los datos personales objeto de tratamiento no solo han de ser veraces y exactos, sino también adecuados y pertinentes. Dado que el art. 29.4 LOPD solo permite registrar y ceder datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados, una deuda que no se paga porque el supuesto deudor objeta seriamente su procedencia y exigibilidad (y así lo justifica al ejercitar el derecho de cancelación o rectificación) no es determinante para enjuiciar la solvencia económica del afectado, incluso aunque luego se diera la razón al acreedor en la reclamación judicial que pudiera entablarse, porque la causa del impago no es la insolvencia del deudor sino su disconformidad con la existencia o exigibilidad de la deuda.

No se trata tanto de que el responsable del fichero común enjuicie la existencia, certeza y vencimiento de la deuda como la pertinencia de los datos para enjuiciar la insolvencia del afectado, a la vista de los términos en que haya sido ejercitado el derecho de rectificación o de cancelación.

La sentencia de la Sala 3ª del Tribunal Supremo, Secc. 6ª, de 15 de julio de 2010, anuló el apartado 2 del art. 38 RPD, que preveía la no inclusión en el fichero (o la cancelación si ya estaban incluidos) de los datos personales « sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores ». La sentencia consideró que este inciso del precepto reglamentario desarrollaba la LOPD « en términos tales que origina una gran inseguridad jurídica que puede dar lugar a la apertura de expedientes sancionadores ». Por tanto, la anulación de este inciso del RPD llevada a cabo por esta sentencia responde exclusivamente a exigencias propias del Derecho administrativo sancionador.

Pero la reclamación de responsabilidad civil ante los órganos de la jurisdicción civil no supone la imposición de una sanción y responde a principios diferentes. Por tanto, a efectos de exigir responsabilidad civil por infracción del derecho a la protección de datos y, en su caso, intromisión ilegítima en el derecho al honor y causación de daños morales y patrimoniales, ha de considerarse que la aportación por el interesado a los responsables del fichero de una justificación razonable de falta de pertinencia de los datos incluidos en el fichero es suficiente para que se dé satisfacción a su derecho a la cancelación de los datos.

8.- Equifax no es un mero encargado del tratamiento de datos que actúa por cuenta y bajo las órdenes de un responsable del fichero, en los términos previstos en el art. 3.g LOPD, sin autonomía en la toma de decisiones. Por el contrario, es responsable del fichero Asnef y del tratamiento de los datos en él incluidos en los términos previstos en el art. 2.d de la Directiva y 3.d LOPD, y como tal, debió dar respuesta fundada al legítimo ejercicio del derecho de cancelación por parte del interesado cuyos datos se habían incluido indebidamente en el fichero de su responsabilidad.

No es aceptable la tesis de que el responsable del fichero común carece de disponibilidad sobre los datos registrados y, por tanto, de responsabilidad. El art. 6.2 de la Directiva establece que « corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1 », esto es, que los datos sean adecuados, pertinentes y no excesivos, que sean exactos y que se tomen todas las medidas razonables para que los datos inexactos o incompletos sean suprimidos o rectificados. Y, como declara la reciente sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, asunto C 131/12, en su párrafo 77, « el interesado puede dirigir las solicitudes con arreglo a los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 directamente al responsable del tratamiento, que debe entonces examinar debidamente su fundamento y, en su caso, poner fin al tratamiento de los datos controvertidos ».

Como responsable que es de un fichero de datos automatizado que se forma sin consentimiento de los afectados, y que por la naturaleza de los datos contenidos en el mismo, puede provocar serias vulneraciones de derechos fundamentales de los interesados y causarles graves daños morales y patrimoniales, Equifax ha de dar cumplida satisfacción al ejercicio por los interesados de los derechos de rectificación y cancelación, cuando, como en el caso enjuiciado, ello puede realizarse con base en una solicitud motivada y justificada. No puede limitarse a seguir las indicaciones del acreedor que facilitó los datos, ha de realizar su propia valoración del ejercicio del derecho de rectificación o cancelación realizado por el afectado, y darle una respuesta fundada.

Lo contrario implicaría una restricción injustificada del derecho a la protección de datos de los interesados cuyos datos sean incluidos en un registro de los previstos en el art. 29.2 LOPD .

Al limitarse a seguir acríticamente las indicaciones del acreedor y mantener los datos del demandante en un registro de morosos, pese a la solicitud de cancelación motivada y justificada que el demandante le envió, Equifax vulneró su derecho fundamental a la protección de datos, y con ello, participó en la intromisión en su derecho al honor consecuencia de su indebida inclusión en el registro de morosos. Ello le hace responsable de tal vulneración junto con Yell, lo que conlleva su condena solidaria al pago de la indemnización.

9.- Lo expuesto lleva a la estimación de este motivo y, consecuentemente, a la estimación del recurso de apelación en cuanto a la revocación del pronunciamiento absolutorio de Equifax y del consiguiente pronunciamiento condenatorio del demandante en las costas de primera instancia respecto de dicha entidad, y en las de apelación.