Sentencia del
Tribunal Supremo de 7 de noviembre de 2018 (D. EDUARDO BAENA RUIZ).
[Ver esta resolución
completa en Tirant On Line Premium. http://www.tirantonline.com/tol]
SEGUNDO.- Decisión de la sala.
1.- Para la mejor inteligencia de la
decisión del recurso es necesario poner de relieve que hechos son los que
relata la actora, como fundamento de su pretensión, y qué argumentos utiliza la
sentencia recurrida para hacer responsable a la demandada de una vulneración
del derecho al honor de aquella:
(i) Los hechos son: que durante el
año 2015, sin mediar comunicación ni preaviso, fue incluida indebidamente en el
fichero de morosos titularidad de la demandada por una supuesta deuda,
pendiente, por importe de 59.515,11 euros. Que requirió a la demandada para que
inmediatamente la eliminara de dicho fichero, y efectuadas por ésta las
comprobaciones pertinentes, le dio de baja.
En enero de 2016 volvió a requerir a
la demandada para la eliminación del fichero. La demandada realizó las
comprobaciones pertinentes, y nuevamente procedió a eliminar a la actora del
fichero de morosos.
En el mes de abril de 2016
nuevamente se hallaba incluida en el fichero, por el mismo importe y origen de
la deuda.
A raíz de esta tercera inclusión
reacciona contra la demandada, lo que motiva el presente litigio, por entender
que esta no compró ab initio la veracidad de la deuda, después de
reconocer la existencia del error y darle de baja, sino que la volvió a incluir
en el fichero. Ello ocurrió tres veces en apenas cuatro meses.
(ii) La sentencia recurrida parte de
un dato, que fue ratio decidendi de la sentencia de primera instancia y
que ella no contradice, a saber, que por ser la actora una persona jurídica no
es de aplicación la Ley de Protección de Datos (sentencia 68/2016, de 16 de
febrero).
Pero añade, y ello no lo niega la
demandada recurrente, que la no aplicación de la normativa de la Ley de
Protección de Datos por persona jurídica, no es obstáculo a que se reconozca el
derecho fundamental al honor, y que aquella compañía mercantil pretende su
protección; por lo que no es cuestionable, y se apoya en citas
jurisprudenciales, la tutela de las personas jurídicas en esta esfera.
Con estos antecedentes estima la
demanda porque, con independencia de que fuese la entidad financiera la que
erró al trasvasarle una situación de morosidad que era inexacta, Asnef-Equifax
incurrió en falta de diligencia.
La falta de diligencia, y ello
constituye la ratio decidendi de la sentencia recurrida, consistió en no
haber comprobado los datos que le remitía la entidad financiera y solicitar de
la misma ratificación y certeza, a la vista de que ésta se venía equivocando
varias veces en tan escaso plazo.
TERCERO.- No puede servirnos de referencia
como doctrina de la sala, desde el ámbito normativo de la Ley de Protección de
Datos, a cerca de las obligaciones y responsabilidad del responsable del
fichero común, las siguientes sentencias:
La sentencia 672/2014, de 19 de
noviembre, porque al ser absuelta la responsable del fichero común en la
primera instancia, los demandantes no recurrieron la absolución de ésta.
La sentencia 692/2014, de 3 de
diciembre, porque en ella el motivo del recurso es otro, si bien consta como
antecedente que en el litigio previo la actora se desistió de la demanda contra
Asnef Equifax porque ésta aportó con la contestación a la demanda un documento
consistente en una consulta al fichero de cancelaciones en la que la deuda
aparecía cancelada.
La sentencia 696/2014, de 4 de
diciembre, porque, aunque fue condenada Asnef-Equifax en las instancias, sin
embargo, solo recurrió en casación el demandante en el extremo relativo al quantum
de la indemnización.
CUARTO.- Sin embargo, si cumple esa función
la sentencia 267/2014, de 21 de mayo, que por su relevancia nos va a servir de
guía.
Se pretende destacar de la citada sentencia,
para la decisión del recurso, los siguientes argumentos:
(i) [Lo que se cuestiona en este
motivo es si puede imputarse también tal intromisión ilegítima a Equifax, para
lo cual es preciso determinar si esta empresa, titular y responsable del fichero
Asnef, respetó el derecho a la protección de datos personales del demandante,
para lo cual es necesario precisar qué normativa es aplicable, puesto que si la
actuación de Equifax hubiera sido conforme a Derecho, la afectación que su
conducta ha causado en el honor del demandante no constituiría una intromisión
ilegítima.
(ii) [Los elementos fundamentales
que se repiten en la regulación contenida en esas normas (Convenio, Carta de
Derechos Fundamentales y Directiva), y que se relacionan íntimamente entre sí,
son dos: (i) exigencia de calidad en los datos personales objeto de tratamiento
automatizado en ficheros, en sus aspectos de adecuación, pertinencia,
proporcionalidad y exactitud; y (ii) concesión al afectado de un derecho de
rectificación cuando sus datos personales hayan sido objeto de tratamiento sin
respetar tales exigencias.
(iii) [La persona cuyos datos
personales son recogidos, tratados e incorporados a un fichero tiene derecho a
obtener información, de forma inteligible, sobre sus datos de carácter personal
sometidos a tratamiento (art. 12.a de la Directiva y 15 LOPD) así como a
obtener la rectificación, cancelación y bloqueo de los datos cuyo tratamiento
no se ajuste a las exigencias de la normativa de protección de datos
personales, en particular cuando tales datos resulten inexactos o incompletos
(art. 12.b de la Directiva y 16.1 LOPD), debiendo el responsable del
tratamiento hacer efectivo dicho derecho en el plazo de 10 días (art. 16.1
LOPD), dando lugar la cancelación al bloqueo de los datos y debiendo el
responsable del tratamiento notificar la rectificación o cancelación de los
datos a aquellos a los que previamente hubieran sido comunicados los datos
rectificados o cancelados (art. 16.3 y 4 LOPD).
(iv) [Si el responsable o el
encargado del tratamiento no respetara las exigencias derivadas de los
principios que regulan la calidad de los datos tratados, y como consecuencia de
dicha infracción se causaran daños y perjuicios de cualquier tipo a los
afectados, el art. 19 LOPD, en desarrollo del art. 23 de la Directiva, les
reconoce el derecho a ser indemnizados.
(v) Una vez hechas tales
consideraciones la sala ofreció respuesta a lo motivado por la audiencia que
afirmó que "la comprobación de la existencia, certeza y vencimiento de las
deudas controvertidas no son de la incumbencia del titular del registro por exceder
lógicamente de sus competencias".
Sostuvo la sala que compartía esa
tesis, pues: [La interpretación de estas normas reglamentarias no puede llevar
a que el responsable del "registro de morosos", esto es, la empresa
titular del fichero común en el que se incluyen los datos sobre incumplimientos
de obligaciones dinerarias procedentes de los ficheros de distintos acreedores,
esté excluido de la obligación de velar por la calidad de los datos, y, por
tanto, de cancelar o rectificar de oficio los que le conste que sean no
pertinentes, inexactos o incompletos. Como responsable del tratamiento de los
datos obrantes en el registro de morosos del que es titular, le compete atender
la solicitud de cancelación o rectificación del afectado cuando la misma sea suficientemente
fundada porque los datos incluidos en el fichero no respetan las exigencias de
calidad derivadas de las normas reguladoras del derecho. Y por las mismas
razones ha de responder de los daños y perjuicios causados al afectado cuando
se hayan incumplido estas obligaciones]
Más adelante afirma que [El art.
44.3.1º RPD prevé que cuando el interesado ejercite sus derechos de
rectificación o cancelación en relación con la inclusión de sus datos en un
fichero regulado por el artículo 29.2 LOPD, si la solicitud se dirige al
titular del fichero común, éste tomará las medidas oportunas para trasladar
dicha solicitud a la entidad que haya facilitado los datos, para que ésta la
resuelva, y si no recibe contestación por parte de esta entidad en el plazo de
siete días, procederá a la rectificación o cancelación cautelar de los mismos.
Esta previsión reglamentaria no
puede interpretarse de modo que cuando el interesado haya ejercitado sus
derechos de rectificación o cancelación de forma motivada y fundamentada,
justificando ante el titular del fichero común el incumplimiento de los
requisitos de calidad de los datos, este no pueda y no deba rectificar o
cancelar los datos no pertinentes, inexactos o incompletos (a no ser que así se
lo indique el acreedor que le ha suministrado los datos). Esta interpretación
supondría una restricción injustificada del derecho a la protección de datos
del interesado y es por tanto inatendible. Ha de tenerse en cuenta que el
responsable del fichero común es quien comunica al afectado que sus datos han
sido incluidos en el fichero, notificándole una referencia de tales datos e
informándole de su derecho a recabar información de la totalidad de los datos,
por lo que será frecuente que el derecho de rectificación o cancelación se ejercite
frente al responsable del fichero común, que es el que constituye el
"registro de morosos" y tiene una mayor potencialidad ofensiva pues
puede ser consultado por terceros.
Ciertamente, el acreedor o quien
actúe por su cuenta o interés será responsable de la inexistencia o inexactitud
de los datos que hubiera facilitado para su inclusión en el fichero, en los
términos previstos en la LOPD, pues es él quien razonablemente puede comprobar
los requisitos relativos a la existencia, veracidad y pertinencia de los datos,
al ser parte en la relación contractual en la que se produjo el incumplimiento,
y así lo ha declarado esta sala en su sentencia núm. 226/2012, de 9 de abril.]
(vi) como corolario hace una
afirmación de gran relevancia, a saber, [Pero una vez que el interesado
ejercita el derecho de rectificación o cancelación ante el responsable del
registro de morosos, si la reclamación se realiza de manera documentada y
justificada, el responsable de este fichero ha de satisfacer este derecho en
los términos previstos en el art. 16 LOPD. No puede limitarse a trasladar la
solicitud al acreedor, para que este decida, y seguir acríticamente las
indicaciones de este, dando una respuesta estandarizada al afectado al que
niega la cancelación que es lo realizado por Equifax].
(vii) A continuación razona porque
ha de ser condenada la responsable del fichero común:
[ La comunicación en la que el
demandante ejercitó su derecho de cancelación de los datos frente a Equifax,
responsable del fichero Asnef, acreditaba de forma razonable y suficiente que
su inclusión en el registro de morosos era improcedente, puesto que justificaba
que había desistido del contrato en virtud de una previsión contractual que lo
permitía, y había actuado diligentemente para pagar la cantidad adeudada, que
era inferior a la que pretendía cargarle Yell, y desde luego muy inferior a la
cantidad que en el registro de morosos de atribuía a la deuda pendiente.
En tales circunstancias, no bastaba
a Equifax con adoptar una actitud pasiva, limitándose a pedir a Yell la
confirmación de la procedencia de la inclusión de los datos, y negarse a
satisfacer el derecho del interesado a la cancelación de sus datos tan solo
porque el acreedor así se lo manifestara. Debió examinar la solicitud y dar una
respuesta con base en el carácter fundado o no de la misma, solicitando en su
caso a Yell que justificara la confirmación de los datos, no limitándose a ser
un mero transmisor de la solicitud al acreedor].
[No se trata tanto de que el
responsable del fichero común enjuicie la existencia, certeza y vencimiento de
la deuda como la pertinencia de los datos para enjuiciar la insolvencia del
afectado, a la vista de los términos en que haya sido ejercitado el derecho de
rectificación o de cancelación].
[Equifax no es un mero encargado del
tratamiento de datos que actúa por cuenta y bajo las órdenes de un responsable
del fichero, en los términos previstos en el art. 3.g LOPD, sin autonomía en la
toma de decisiones. Por el contrario, es responsable del fichero Asnef y del tratamiento
de los datos en él incluidos en los términos previstos en el art. 2.d de la
Directiva y 3.d LOPD, y como tal, debió dar respuesta fundada al legítimo
ejercicio del derecho de cancelación por parte del interesado cuyos datos se
habían incluido indebidamente en el fichero de su responsabilidad].
[Como responsable que es de un
fichero de datos automatizado que se forma sin consentimiento de los afectados,
y que por la naturaleza de los datos contenidos en el mismo, puede provocar
serias vulneraciones de derechos fundamentales de los interesados y causarles
graves daños morales y patrimoniales, Equifax ha de dar cumplida satisfacción
al ejercicio por los interesados de los derechos de rectificación y
cancelación, cuando, como en el caso enjuiciado, ello puede realizarse con base
en una solicitud motivada y justificada. No puede limitarse a seguir las
indicaciones del acreedor que facilitó los datos, ha de realizar su propia
valoración del ejercicio del derecho de rectificación o cancelación realizado por
el afectado, y darle una respuesta fundada.
Lo contrario implicaría una
restricción injustificada del derecho a la protección de datos de los
interesados cuyos datos sean incluidos en un registro de los previstos en el
art. 29.2 LOPD.
Al limitarse a seguir acríticamente
las indicaciones del acreedor y mantener los datos del demandante en un
registro de morosos, pese a la solicitud de cancelación motivada y justificada
que el demandante le envió, Equifax vulneró su derecho fundamental a la
protección de datos, y con ello, participó en la intromisión en su derecho al
honor consecuencia de su indebida inclusión en el registro de morosos. Ello le
hace responsable de tal vulneración junto con Yell, lo que conlleva su condena
solidaria al pago de la indemnización].
QUINTO.- Las exigencias y obligaciones que
se recogen en la sentencia de la sala, ampliamente reseñada, en relación con el
tratamiento de los datos de carácter personal respecto de la empresa titular
del fichero común, aparecen cumplidas por dicha empresa en el presente litigio
si se está a los hechos en que se fundamenta la demanda.
1.- Las dos veces que fue requerida por
la actora reaccionó con presteza y le dio de baja.
Si no lo hizo la tercera que vez fue
porque no fue requerida.
Se podrá argumentar que la sala ha
aplicado para su decisión la normativa de la LPD, que ambas instancias declaran
inaplicable con fundamento en nuestra jurisprudencia (sentencia 68/2016, de 16
de febrero), por ser la actora una persona jurídica.
Es cierto, pero también que esa
misma sentencia reconoce que la no aplicación de esa normativa "no
significa que sea lícita la inclusión de los datos de una persona jurídica en
un fichero de morosos".
2.- Si con arreglo a la normativa de la
LPD, sumamente protectora por tener como ámbito las personas físicas, incluidas
las comerciantes, según reiterada doctrina de la sala (sentencia 174/2018, de
23 de marzo), la demandada habría cumplido sus obligaciones de pronta
rectificación y cancelación a instancia de la actora, no se le puede exigir una
mayor diligencia fuera del ámbito de aquella, como pretende la sentencia
recurrida.
Resulta llamativa la exquisita
diligencia que se predica para la demandada por la actora, y, sin embargo, no
consta que así actuase ésta respecto a la entidad financiera, origen de los
supuestos errores, a la que ni siquiera demanda.
Y todo ello teniendo en cuenta que
la persona jurídica demandante es una sociedad que ha tenido relaciones
financieras y procesos con la suministradora de datos y, por ende, acceso a
ella, y por supuesto le asistía acción para traerla al presente litigio como
codemandada; lo que hubiese clarificado una situación fáctica tan nebulosa como
la que se aprecia en la sentencia recurrida, sobre todo en lo relativo a la
calidad de datos de la suministradora.
Por todo ello el motivo se estima.
No hay comentarios:
Publicar un comentario