A caballo entre el año que acaba y el que empieza, se tramitan en el Parlamento estatal varios proyectos de ley interesantes. Pienso en dos. Uno transpone una directiva europea (con retraso). Otro desarrolla un reglamento europeo. El primero, ya en su título nos reconduce al imaginario de la crisis financiera de estos últimos años: Proyecto de Ley reguladora de los contratos de crédito inmobiliario. El segundo concreta, a nivel nacional, la regulación de un derecho fundamental de recorrido relativamente reciente: Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal.
El ciudadano se ha acostumbrado a firmar cláusulas de protección de datos a las que presta poca o ninguna atención. Las percibe como algo estereotipado y farragoso, como un factor más de «burocratización» en su vida. «La cantinela de siempre», pensará. En el mejor de los casos las recorrerá con una mirada ociosa y despreocupada, si no con cansancio. Sin embargo, quien se acerca a él tiene que convenir con MARION ALBERS, que el Derecho sobre protección de datos es cualquier cosa menos burocrático; es moderno y excitante y, al mismo tiempo, necesitado de mayor elaboración en muchos aspectos.
Uno de estos aspectos conecta, precisamente, con la ley sobre contratos de crédito inmobiliario entre otras que jalonan, en los últimos años, el desarrollo del concepto de crédito responsable: la evaluación de la solvencia de quien solicita crédito.
Es bien sabido que los datos de los clientes de los servicios financieros son uno de los principales activos del sector. Se tratamiento, además de imprescindible para la celebración del contrato, resulta útil para diseñar productos más competitivos con los que captar y mantener la clientela o a efectos de publicidad y marketing, y básico en la evaluación del riesgo. La gestión del riesgo, en particular, constituye el núcleo duro del negocio crediticio. En definitiva se trata de tomar decisiones sobre la base de juicios acerca de la probabilidad de que el prestatario reembolse el préstamo, respaldados por diversas garantías que tienden a mitigar el riesgo. Tales juicios se alimentan de información. En este escenario, los Sistemas de Información Crediticia (SIC), que articulan el intercambio de esta información entre los operadores del mercado a partir de la gestión de ficheros comunes de solvencia, cobran protagonismo.
En España, la regulación básica de los SIC ha anidado tradicionalmente en la LOPD. No es algo gratuito. Es un síntoma. Un indicio del enfoque y los problemas que se perciben como centrales. Frente a otros de corte utilitarista, el modelo europeo se halla más preocupado por la protección de los derechos fundamentales del deudor, muy en especial, sus derechos al honor, a la intimidad y a la autodeterminación informativa.
Hasta ahora, en España se ha exigido el consentimiento del afectado para el tratamiento de sus datos «positivos» asociados a una mayor o menor probabilidad de cumplimiento de sus obligaciones (créditos obtenidos, situación patrimonial activa, garantías prestadas, historial laboral, etc.), salvo que se obtengan de fuentes accesibles al público, a diferencia de lo que ocurre con los datos «negativos», relativos a las deudas incumplidas, que pueden ser suministrados por los acreedores sin necesidad de que el deudor lo consienta (cfr. art. 29 LOPD y su desarrollo reglamentario y, antes, art. 28 LORTAD, según la interpretación que ha mantenido la mayoría de la doctrina y, sin fisuras, la AEPD y los tribunales).
Este planteamiento, que se perpetuaba en el Anteproyecto de LOPD hecho público el pasado verano, se altera finalmente -al asumir las críticas contenidas en el Dictamen preceptivo del Consejo de Estado- en el Proyecto de LOPD, destinado, cuando se convierta en ley, a complementar al Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
A lo que ahora interesa, el Proyecto LOPD no contiene referencia expresa a los datos de solvencia positivos (a salvo la alusión implícita que trasluce el art. 20.3). Respecto de los datos negativos (incumplimiento de obligaciones dinerarias, financieras o de crédito) establece una presunción «iuris tantum» de licitud de su tratamiento cumplidos ciertos requisitos. Esto implica que el legislador ha contrastado los intereses en juego y ha decidido presumir que es prevalente el de los acreedores o el interés general en una adecuada evaluación de la solvencia, en relación con el tratamiento de datos negativos, suponiendo que se den ciertos requisitos relacionados con la calidad de los datos, el tiempo de permanencia en los ficheros, etc. Sin embargo, ha elegido no establecer la misma presunción respecto del tratamiento de los datos positivos de solvencia. Pero tampoco ha declarado, a diferencia de lo que venía siendo tradicional, que sea necesario el consentimiento del deudor para tratar estos datos. De este sistema no cabe deducir que solo puedan tratarse los datos positivos de solvencia que no provengan de fuentes de acceso público previo consentimiento del afectado. Más bien hay que interpretar que en este caso, la ley o bien no ha efectuado la ponderación anterior o bien, lo que parece más probable, no ha llegado a un resultado concluyente que le permita establecer con carácter general, ni siquiera de modo presuntivo, la prevalencia de un interés sobre otro o no se ha atrevido a dar el paso de equiparar a estos efectos los datos negativos y positivos rompiendo definitivamente con el planteamiento tradicional. Sea como sea, esto deja abierta la puerta al tratamiento de los datos positivos sin consentimiento del afectado a partir de otras vías de legitimación: señaladamente, las contenidas en los apartados b), c) y f) del art. 6.1 RGPD, muy especialmente, la última de ellas, basada en el interés legítimo. Puerta que no se podría haber cerrado -adviértase- sin vulnerar el Reglamento.
CONCLUSIÓN: De prosperar tal regulación, ¿será suficiente para desbloquear la creación de ficheros privados positivos de solvencia en España? Creo que no. Primero porque la discriminación que persiste entre datos negativos y positivos puede generar inseguridad en los operadores del mercado crediticio; y, segundo, porque no sirve para fomentar, ni menos obligar, a las entidades financieras que ostentan posiciones dominantes a compartir los datos positivos de solvencia sobre sus clientes con los competidores.
En el prólogo a una magnífica obra de Natalia Ginzburg (“Ensayos”, publicada en el año 2009 por Lumen), Flavia Company escribe: “Qué distinta es la literatura que abre puertas de la que transita por las que ya estaban abiertas”. La nueva LOPD que salga del Parlamento debería abrir puertas a un tratamiento de datos sobre solvencia más acorde con los intereses generales vinculados al fomento del crédito responsable. Según lo haga o no, podrá evaluarse con más o menos rigor al evaluador, pues ¿cómo afirmar que ha concedido crédito irresponsablemente y aplicar las consecuencias jurídicas correspondientes si no disponía de información suficiente? Y si esa información no podía obtenerla por otros medios, ¿acaso no se estará poniendo sobre las espaldas del consumidor la carga de facilitársela él mismo a la entidad a la que se dirige so pena de no poder exigir luego responsabilidades a quien le concedió el crédito que seguramente no iba a poder devolver? ¿Es más favorable para los consumidores este sistema que la circulación de los datos positivos, con las debidas garantías vinculadas, entre otros factores, a la calidad de los datos y a los principios de finalidad y limitación de su tratamiento?