La Agencia Española de Protección de Datos ha puesto patas arriba el sector de la información empresarial y financiera. Fuentes consultadas por El Confidencial confirman que la agencia española ha sancionado con más de un millón de euros en total a las principales empresas que operan en el sector por el tratamiento de datos personales de autónomos. La decisión conlleva no solo una multa económica, sino también la orden de supresión de esa información, lo que supone el borrado masivo de los datos sobre trabajadores autónomos que aparece en estas plataformas.
Se da el caso de que la compañía con más cuota de ese mercado, Informa D&B, es una sociedad mercantil estatal que pertenece a la Compañía Española de Seguros de Crédito a la Exportación (CESCE) y cuyo accionista mayoritario es el Estado español.
Los datos de la polémica provienen del censo público de empresas gestionado por las Cámaras de Comercio, cuya creación y acceso está amparado por la Ley 4/2014. La AEPD, sin embargo, considera que no existe base de legitimación suficiente para este tratamiento, especialmente por el uso del NIF, que en el caso de los autónomos coincide con su DNI, al tratarse de personas físicas.
La sanción se produce tras una denuncia presentada en 2022 por el Institut per la Cultura Democràtica a l’Era Digital Associació, una entidad sin mucha visibilidad que se presenta como defensora de los derechos digitales.
El apagón informativo tendría un impacto considerable en múltiples sectores, ya que este tipo de productos son altamente demandados por entidades financieras, aseguradoras, auditoras, despachos de abogados, economistas, consultoras e incluso por el propio sector público. De hecho, la AEPD ha contratado estos servicios en el pasado, incluyendo en los pliegos de licitación la exigencia de que contengan información sobre autónomos.
Dentro de este escenario, el sector financiero sería uno de los más afectados, dado que los bancos dependen de la trazabilidad de estos datos para evaluar riesgos, cumplir con normativas de diligencia debida y ofrecer servicios adaptados a los profesionales autónomos. Aunque la AEPD todavía no ha hecho público el expediente sancionador, las empresas sancionadas ya han comenzado a tomar medidas y reconocen a este periódico que su objetivo es llegar a la Audiencia Nacional.
En una carta dirigida a sus principales clientes, el consejero delegado de Informa D&B, Juan María Sainz Muñoz, informa sobre el procedimiento sancionador en curso y advierte que, aunque la resolución aún no es firme, la compañía quiere anticiparse y comunicar con antelación tanto la situación actual como las medidas que tiene previsto adoptar.
En la misiva consultada por este medio, la compañía explica que va a recurrir la resolución, a la que describe como fruto de un “cambio de criterio” por parte de la AEPD. También anuncia que mantiene “las puertas abiertas al diálogo con la AEPD para intentar encontrar alguna salida”; no obstante, recalca que, en ausencia de nuevas actualizaciones del censo cameral, borrará toda la información de autónomos de sus sistemas el 30 de noviembre.
"Nosotros extraemos la información de la Agencia Tributaria, como recoge la ley"
Consultada por este medio, la Cámara de Comercio de España defiende que la ley que regula su actividad les obliga a publicar los datos de autónomos y empresas en su página web con varios fines institucionales, entre ellos, la elaboración de los censos electorales para los comicios en las diferentes cámaras territoriales. “Nosotros extraemos la información de la Agencia Tributaria, como recoge la ley”, aseguran desde la entidad.
En relación con el tratamiento de datos personales y la sanción impuesta por la Agencia Española de Protección de Datos, la institución reconoce su participación en Camerdata, la compañía que comercializa paquetes de información empresarial entre los que se incluía, hasta hace poco, el NIF de los empresarios individuales. “Siempre hemos enviado los datos personales, el NIF de los autónomos, encriptados a Camerdata”, explican. Sin embargo, desde que se inició el expediente sancionador, han cesado por completo esa práctica. “Llevamos un año sin enviar este dato, ni siquiera encriptado”, sostienen.
La Cámara también avanza que recurrirá la resolución ante la Audiencia Nacional por la sospecha de que la próxima en ser sancionada pueda ser la propia institución. A su juicio, se han limitado a cumplir con las obligaciones que marca la norma que regula su funcionamiento. Camerdata no ha querido hacer declaraciones a este periódico.
Por su parte, la Agencia Española de Protección de Datos, tras ser contactada por este medio, ha remitido los argumentos jurídicos en los que se basa la resolución sancionadora. En primer lugar, confirma que ha sancionado a Informa por infringir el artículo 6.1 del RGPD, “por no tener base de licitud para el tratamiento de datos personales de empresarios individuales”, y el artículo 14, “por no haber informado del tratamiento a los interesados”.
En la resolución se ordena expresamente “el cese en el tratamiento de los datos personales hasta que se cuente con una base de legitimación válida de las contempladas en el art. 6.1 del RGPD, así como la supresión de los datos personales que han sido objeto de tratamiento sin base de legitimación”.
La AEPD, en la información consultada, esgrime nueve argumentos en los que motiva su decisión. Por un lado, subraya que “el censo público de empresas tiene como único fin legal servir a las funciones institucionales de las Cámaras de Comercio, como órganos públicos representativos y de promoción empresarial, y conformar el censo electoral cameral”. Y recalca que “no ha sido diseñado como fuente de publicidad económica ni como base de datos abierta para otros usos”.
A juicio de la institución, “no existe en el ordenamiento jurídico español un marco normativo que disponga de forma abierta, y con respaldo legal expreso, el tratamiento de los datos personales de empresarios individuales, con garantías adecuadas para los fines con los que se estaban utilizando”. La ausencia de ese marco, añade, “impide presumir la licitud de tratamientos generalizados de esta naturaleza, por muy extendidos que estén en la práctica empresarial”.
También descarta que pueda apelarse al interés legítimo sin un análisis individualizado. “No se ha realizado una evaluación individualizada y restrictiva, documentando adecuadamente la necesidad, idoneidad y proporcionalidad del tratamiento, y ponderando con rigor los intereses del responsable frente a los derechos y libertades del interesado”. En todo caso, apunta la Agencia, “no se superaría la prueba de ponderación ni el tratamiento sería compatible con el espíritu, la letra y los objetivos de la norma sectorial que ampara la recogida inicial de los datos”.
"La resolución rechaza que el censo pueda utilizarse para estructurar productos de información empresarial por parte de terceros"
Asimismo, rechaza que terceros puedan utilizar el censo para finalidades comerciales: “La resolución rechaza que el censo pueda utilizarse para estructurar productos de información empresarial por parte de terceros, como hacen las entidades infomediarias. Tales finalidades no están previstas por el legislador, aunque puedan responder a una demanda del mercado”.
Además, recuerda que “la regulación impone límites estrictos de acceso y uso interno”, lo que refuerza la idea de que “no se trata de una base de datos disponible para el público o para finalidades diversas”. En cuanto al artículo 19 de la LOPDGDD, que permite el tratamiento de ciertos datos profesionales, la resolución aclara que esto “no legitima el uso del censo cameral con fines distintos a los previstos legalmente”.
Incluso cuando el tratamiento se ajusta a la finalidad legal del censo, concluye la Agencia, deben cumplirse “todas las obligaciones del RGPD, incluyendo los principios de minimización, transparencia, limitación de la finalidad y responsabilidad proactiva”.
Uno de los elementos clave del razonamiento jurídico es la falta de consentimiento o expectativa razonable por parte de los interesados: “Los empresarios individuales no podían prever razonablemente que sus datos, recogidos con fines institucionales, acabarían siendo tratados con fines comerciales por terceros”.
No es la primera vez que este sector recibe una sanción por parte de un organismo del Estado; la última fue en 2021 por parte de la Comisión Nacional de los Mercados y la Competencia (CNMC). El organismo sancionó a dos de las principales empresas de servicios de bases de datos de información empresarial en España, con 3,5 millones de euros cada una: Bureau Van Dijk e Informa D&B.
En su escrito, la CNMC indicaba que durante 20 años las dos empresas se habían estado reuniendo para intercambiar información sobre clientes, para que no negociasen con los clientes de cada una, y también para fijar descuentos y precios de venta sobre sus productos.
Bureau Van Dijk e Informa colaboraban en la elaboración de estos productos, aportando cada una distintos elementos clave: una suministraba el 'software' de análisis y la otra la información financiera y comercial. La actividad del cártel se centraba en la comercialización conjunta de soluciones de inteligencia empresarial y servicios de información sobre empresas, basados en bases de datos con cobertura regional, nacional e internacional.
En 2021, ambas compañías admitieron ante la CNMC su participación en un cártel, acogiéndose al programa de clemencia. Bureau Van Dijk, junto con su matriz Moody’s, quedó exenta de sanción al ser la primera en solicitar dicha medida. Por su parte, Informa D&B obtuvo una reducción del 30 % en la multa impuesta, que finalmente ascendió a 3,5 millones de euros.
If you often open multiple tabs and struggle to keep track of them, Tabs Reminder is the solution you need. Tabs Reminder lets you set reminders for tabs so you can close them and get notified about them later. Never lose track of important tabs again with Tabs Reminder!
Try our Chrome extension today!
Share this article with your
friends and colleagues.
Earn points from views and
referrals who sign up.
Learn more