El artículo 29 de la Ley Orgánica de Protección de Datos se refiere a los ficheros de información sobre solvencia patrimonial y crédito en los siguientes términos:

Articulo 29 Prestación de servicios de información sobre solvencia patrimonial y crédito

1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.

2. Podrán tratarse también datos de carácter personal, relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley. 

3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.

4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

Tal y como señala la Agencia de Protección de Datos en su Informe 0237/2009, por razón del origen de los datos incluidos en los ficheros de solvencia patrimonial y crédito se distingue dentro de los mismos entre aquéllos en que 1) los datos proceden de fuentes accesibles al público o han sido facilitador por el propio interesado (artículo 29.1 LOPD), de 2) aquellos en que los datos han sido facilitados por el acreedor o por quien actúa por su cuenta (artículo 29.2 LOPD).

Por tanto, existen dos posibles tipos de ficheros (o de tratamientos dentro de un mismo fichero) diferenciados por el origen de los datos, de los cuales los segundos son los que generalmente se conocen como “ficheros de morosos”, y se distingue de los primeros que se orientan más bien a actividades de información comercial o evaluación de la solvencia económica de personas físicas.

En su informe 0144/2012, la Agencia analiza la cláusula de recogida del consentimiento de los afectados para la inclusión de sus datos en ficheros de solvencia patrimonial y crédito en que se recojan datos que exceden de los señalados en el artículo 29.2 LOPD; es decir, los denominados comúnmente “ficheros positivos”. Como señala el informe, el Tribunal Supremo en su sentencia de 10 de julio de 2010 ya analizó la cuestión concluyendo lo siguiente:

“[…]La lectura de dichos apartados permite concluir, en una interpretación lógico-sistemática de los mismos, que el apartado 1 se está refiriendo a los ficheros positivos o de solvencia patrimonial, exigiéndose para el tratamiento de los datos su obtención de los registros y fuentes accesibles al público o de las informaciones facilitadas por el propio interesado o con su consentimiento y que el apartado 2 hace mención a los ficheros negativos o de incumplimiento, como sin dificultad se infiere, pese a la referencia al «cumplimiento o incumplimiento de las obligaciones», de que se trata de datos facilitados por el acreedor o por quien actúe por su cuenta e interés. Lo que no resulta admisible son los ficheros positivos prescindiendo del consentimiento del afectado.”

En consecuencia, la Agencia, siguiendo el criterio del Tribunal Supremo, considera que será preciso obtener el consentimiento del interesado para la inclusión de sus datos en los denominados ficheros positivos de solvencia patrimonial y crédito en los términos establecidos en los artículos 3 h) y 5.1 LOPD. Asimismo, deberán cumplirse los requisitos establecidos en la Ley y el Reglamento relativos a las cesiones de datos (artículo 11.3 LOPD, 12.1 y 12.2 del Reglamento). Además, si se incluye la cláusula de consentimiento en el clausulado del contrato, debe tenerse en cuenta el artículo 15 del Reglamento que se refiere a la solicitud del consentimiento en un contrato para fines no relacionados directamente con dicho contrato y que dice que deberá permitirse al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos y que se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.

Por último, debe tenerse en cuenta, advierte la Agencia, el carácter esencialmente revocable del consentimiento.

Para la inclusión de datos del segundo tipo de deudores en tales ficheros será necesario el cumplimiento de una serie de requisitos, contenidos en el artículo 29 LOPD y en los artículos 38 y 39 de su Reglamento de desarrollo.

En este informe también se explica, en relación con el artículo 29.4 LOPD, que la Ley prohíbe la existencia de los denominados “saldos cero”, que ha sido sancionado por la sentencia de la Audiencia Nacional de 10 de mayo de 2002, ratificando una resolución sancionadora de la Agencia de Protección de Datos.

Por otro lado, el Tribunal Supremo, en su sentencia de fecha de 22 de enero de 2014, rec. 2585/2011, señala que en los ficheros a los que se refiere el artículo 29.2 LOPD los datos se incluyen por comunicación del acreedor y sin consentimiento de los afectados. Dice la mencionada sentencia que: “[…] Como regla general, la recogida y el tratamiento de los datos de carácter personal requieren el consentimiento inequívoco del afectado (art. 6.1 LOPD y 7.a de la Directiva). Como excepción, dichas actuaciones pueden realizarse sin el consentimiento del afectado cuando ello sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que la ley lo disponga (art. 6.1 LOPD) y no prevalezca el interés o los derechos y libertades fundamentales del 10 interesado (art. 7.f de la Directiva). A esta excepción responde la previsión del art. 29.2 LOPD de que pueden tratarse los datos personales relativos al incumplimiento de obligaciones dinerarias facilitados por el acreedor sin el consentimiento del afectado.”

Los artículos 37 a 44 del Reglamento contienen la regulación de los ficheros de información sobre solvencia patrimonial y crédito.

TÍTULO IV

Disposiciones aplicables a determinados ficheros de titularidad privada

CAPÍTULO I

Ficheros de información sobre solvencia patrimonial y crédito

Sección 1

Disposiciones generales

Artículo 37 Régimen aplicable

1. El tratamiento de datos de carácter personal sobre solvencia patrimonial y crédito, previsto en el apartado 1 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, se someterá a lo establecido, con carácter general, en dicha ley orgánica y en el presente reglamento.

2. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición en el caso de los ficheros a que se refiere el apartado anterior, se rige por lo dispuesto en los capítulos I a IV del título III del presente reglamento, con los siguientes criterios:

a) Cuando la petición de ejercicio de los derechos se dirigiera al responsable del fichero, éste estará obligado a satisfacer, en cualquier caso, dichos derechos.

 b) Si la petición se dirigiera a las personas y entidades a las que se presta el servicio, éstas únicamente deberán comunicar al afectado aquellos datos relativos al mismo que les hayan sido comunicados y a facilitar la identidad del responsable para que, en su caso, puedan ejercitar sus derechos ante el mismo.

3. De conformidad con el apartado 2 del artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre, también podrán tratarse los datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés.

Estos datos deberán conservarse en ficheros creados con la exclusiva finalidad de facilitar información crediticia del afectado y su tratamiento se regirá por lo dispuesto en el presente reglamento y, en particular, por las previsiones contenidas en la sección segunda de este capítulo.

Sección 2

Tratamiento de datos relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés

Artículo 38 Requisitos para la inclusión de los datos

1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:

a) Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada [y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.]

(Inciso final del artículo 38.1 a) anulado por Sentencias TS (Sala 3.ª, Sección 6ª) de 15 julio 2010; Recursos 23 y 26/2008 («B.O.E.» 26 octubre).TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 23/2008) TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 26/2008) Sentencia TS Sala 3.ª 15 Jul. 2010 (declara nulos arts. 11, 18, 38.2, y 123.2 e inciso final art. 38.1.a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic.) Sentencia TS Sala 3.ª 15 Jul. 2010 (anulación de inciso del art. 38.1. a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic., sobre Protección de Datos de Carácter Personal)

b) Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

c) Requerimiento previo de pago a quien corresponda el cumplimiento de la obligación.

 [2. No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba que de forma indiciaria contradiga alguno de los requisitos anteriores.

Tal circunstancia determinará asimismo la cancelación cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero.]

(Artículo 38.2 anulado por Sentencia TS (Sala 3.ª, Sección 6ª) de 15 julio 2010; Recurso 23/2008 («B.O.E.» 26 octubre). TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 23/2008) TS, Sala Tercera, de lo Contencioso-administrativo, Sección 6ª, S, 15 Jul. 2010 (Rec. 26/2008) Sentencia TS Sala 3.ª 15 Jul. 2010 (declara nulos arts. 11, 18, 38.2, y 123.2 e inciso final art. 38.1.a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic.) Sentencia TS Sala 3.ª 15 Jul. 2010 (anulación de inciso del art. 38.1. a) del RD 1720/2007 de 21 Dic., Reglamento de desarrollo de la LO 15/1999 de 13 Dic., sobre Protección de Datos de Carácter Personal) 

3. El acreedor o quien actúe por su cuenta o interés estará obligado a conservar a disposición del responsable del fichero común y de la Agencia Española de Protección de Datos documentación suficiente que acredite el cumplimiento de los requisitos establecidos en este artículo y del requerimiento previo al que se refiere el artículo siguiente.

En el informe 0453/2013, la Agencia de Protección de Datos recuerda los requisitos que ha de tener la deuda para que proceda su inclusión en el fichero, que se contienen en el artículo 38.1 del Reglamento, en la redacción resultante de la sentencia del Tribunal Supremo de 15 de julio de 2010.

Por su parte, el Tribunal Supremo, en su sentencia de fecha de 22 de enero de 2014, rec. 2585/2011 recuerda que

“[…] Esta Sala, en la sentencia núm. 176/2013, de 6 de marzo , declaró: «La inclusión en los registros de morosos no puede ser utilizada por las grandes empresas para buscar obtener el cobro de las cantidades que estiman pertinentes, amparándose en el temor al descrédito personal y menoscabo de su prestigio profesional y a la denegación del acceso al sistema crediticio que supone aparecer en un fichero de morosos […] Por tanto, esta Sala estima que acudir a este método de presión representa en el caso que nos ocupa una intromisión ilegítima en el derecho al honor de la recurrente, por el desvalor social que actualmente comporta estar incluida en un registro de morosos y aparecer ante la multitud de asociados de estos registros como morosa sin serlo, que hace desmerecer el honor al afectar directamente a la capacidad económica y al prestigio personal de cualquier ciudadano entendiendo que tal actuación es abusiva y desproporcionada, apreciándose en consecuencia la infracción denunciada.».

5.- Además de esa falta de proporcionalidad respecto de la finalidad de los ficheros (suministrar datos determinantes para enjuiciar la solvencia de los afectados), la deuda que se comunicó a los «registros de morosos» en marzo de 2007 no era una deuda cierta y exigible, como requiere el principio de calidad de los datos recogido en los arts. 6 de la Directiva y 4 LOPD, y específicamente la norma primera, 1-a, de la Instrucción 1/1995, de 1 de marzo (actualmente, el art. 38 del Reglamento aprobado por el Real Decreto 1720/2007), sino contingente, pues resultaba de una mera «estimación» de CAJA RURAL DE CANARIAS, y a la postre resultó inexistente, hasta el punto de que CAJA RURAL DE CANARIAS fue declarada deudora, que no acreedora, de las costas de primera instancia.

La sentencia de esta Sala núm. 176/2013, de 6 de marzo, declara a estos efectos que «la deuda debe ser además de vencida y exigible, cierta, es decir, inequívoca, indudable, siendo necesario además el previo requerimiento de pago; por tanto no cabe inclusión de deudas inciertas, dudosas, no pacíficas o sometidas a litigio, bastando para ello que aparezca un principio de prueba documental que contradiga su existencia o certeza».”

Artículo 39 Información previa a la inclusión

El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.

En su informe 0348/2013 la Agencia responde a una consulta referida precisamente a las obligaciones de información establecidas en el artículo 39 del Reglamento. La consultante pregunta si el cumplimiento de la obligación de información en el momento del requerimiento de pago eximiría de la necesidad de informar al tiempo de celebrarse el contrato sobre la posibilidad de inclusión de los datos en caso de que se produjera un eventual incumplimiento del mismo.

La Agencia señala que de la sentencia del Tribunal Supremo de 15 de julio de 2010 (por la que se resuelve el recurso interpuesto contra diversos preceptos del Reglamento) se deduce que el Tribunal Supremo asume la existencia efectiva de un doble deber de información que tendrá que llevarse a cabo tanto en el momento de celebrarse el contrato, referido a la posibilidad de que pudiera procederse a la comunicación de los datos a los ficheros de solvencia patrimonial y crédito en caso de incumplimiento, como en caso de que efectivamente se produzca el impago, informando de la concreta inclusión del dato en el fichero en caso de no ser atendido el preceptivo requerimiento de pago que deberá dirigirse al deudor de conformidad con lo exigido en el artículo 38.1 c) del Reglamento.

Por tanto, el artículo 39 impone ambos deberes de información de manera acumulativa. Añade además que la obligación de informar en el momento de la realización del requerimiento es imperativa por mandato de la Ley, de modo que el requerimiento no será ajustado a lo dispuesto en la normativa de protección de datos si no contuviera esa información acerca de la futura inclusión de los datos, tal y como ha puesto de manifiesto la doctrina emanada de la Audiencia Nacional que ha venido considerando ilícita la inclusión de los datos en los ficheros de solvencia en caso de que no se hubiera hecho constar expresamente en el requerimiento que, en caso de no ser atendido, se procederá a la citada inclusión. Así lo ha venido reiterando en múltiples sentencias (por ejemplo, sentencia de 25 de noviembre de 2013, recurso 145/2012.)

También en su informe 0453/2013, la Agencia insiste en que, además del cumplimiento de los requisitos establecidos en el artículo 38 del Reglamento, será preciso que en el momento de celebrar el acreedor el contrato en cuyo desenvolvimiento se produzca el impago de la obligación aquél haya informado al deudor “que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias”; todo ello con el fin de que el deudor tenga pleno conocimiento desde el momento en que contrae la obligación de su eventual inclusión, en caso de impago, en el sistema. Y, asimismo, dicho requerimiento habrá de efectuarse “en todo caso, al tiempo de efectuar el requerimiento al que se refiere la letra c) del apartado 1 del artículo anterior”, esto es, el requerimiento previo de pago.

El informe continúa diciendo que “[…] en el RD 1720/2007 queda establecido que uno de los requisitos para incluir deudas en ficheros comunes, incluyendo los supuestos de avalistas y garantes, debe ir precedido de un requerimiento de pago. Este requerimiento de pago ha de ir dirigido a la persona a quien corresponda realizar el pago, puesto que se trata de una intimación para el pago de la deuda, una exigencia para que se proceda al cumplimiento. Ya decíamos en el informe de 11 de mayo de 2010 que “Con ello además de permitirse al deudor el pago y al acreedor el cobro de la deuda con anterioridad al momento de inclusión del dato, evitando que el deudor sea calificado de moroso y facilitando al acreedor un posible cobro de la deuda, se establece una garantía reforzada del cumplimiento del deber de información al afectado, en los términos previstos en los artículos 10 y 11 de la Directiva […]

Por tanto, como decíamos en el informe de 2 de abril de 2013, se trata de una verdadera manifestación de voluntad por la cual el acreedor requiere al deudor para que cumpla su obligación, interrumpiendo así la prescripción. Se trata, en definitiva, de un acto que trasciende con creces de un mero cumplimiento formal, puesto que se otorga al deudor, como sostiene tradicionalmente la doctrina civilista, una nueva oportunidad para cumplir su obligación. Así, en principio el requerimiento ha de ser recepticio, debiendo dirigirse a la persona concreta que ha de cumplir la obligación y acreditando con carácter general la recepción de requerimiento. Así parece entenderlo la Sentencia de la Audiencia Nacional de 24 de enero de 2003, rec. 51/2001. Y por eso ya decíamos en informe de 12 de septiembre de 2005: “Además, según se desprende de la doctrina emanada de la Audiencia Nacional, recae sobre el responsable del fichero común la carga de la prueba de la recepción de la notificación por parte del afectado cuyos datos se han incorporado al fichero común de morosidad, no bastando la mera acreditación del envío de la comunicación.”

Por tanto, el requerimiento de pago ha de ir dirigido a la persona concreta a quien corresponda realizar el pago y debe acreditarse la recepción del requerimiento.

La Agencia, en su informe de 22 de diciembre de 2003, refiriéndose al deber de información del artículo 5 LOPD, recomendaba que se hiciera constar, en modo que acredite su recepción por el afectado (por ejemplo mediante correo certificado o burofax), que se ha informado al mismo de los extremos contenidos en el precepto.

Por tanto, con carácter general entiende la Agencia que el requerimiento de pago implica la utilización de un medio que permita acreditar el envío y la recepción del mismo, pero se han venido admitiendo supuestos (informe de 2 de abril de 2013) en los que basta la acreditación del requerimiento de pago remitido, aunque no recibido, por no haber podido consumarse la recepción por motivos ajenos a la voluntad del emisor (por ejemplo, si se acreditara que el emisor ha intentado envíos por burofax , correo certificado o mecanismos similares, a todas las direcciones disponibles del destinatario, y aun así no ha podido localizarle, se podrá interpretar que el requerimiento ha de entenderse como válido.)

La Agencia insiste también en que deberá probarse que se ha requerido de pago al deudor y no a otra persona y que el contenido del requerimiento es suficiente, es decir que en concreto se le ha requerido el pago de una obligación con el fin de evitar la inclusión en un fichero de solvencia patrimonial. De hecho, se ha considerado por la Audiencia Nacional (sentencia de 22 de enero de 2014, rec. 61/2013, citando la anterior de 25 de abril de 2007) que “la mera constancia en los registros informáticos de la empresa del envío de los mensajes SMS no resulta prueba suficiente de su efectivo envío. Y en todo caso aquel envío tampoco acredita ni su efectiva recepción ni menos aún su apertura por la persona del destinatario.” A una conclusión parecida llega la Agencia respecto de la consulta planteada acerca de la posibilidad de llevar a cabo requerimientos por teléfono de manera automatizada sin intervención humana sin grabación de la llamada.

Artículo 40 Notificación de inclusión

1. El responsable del fichero común deberá notificar a los interesados respecto de los que hayan registrado datos de carácter personal, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos, informándole asimismo de la posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición, en los términos establecidos por la Ley Orgánica 15/1999, de 13 de diciembre. 

2. Se efectuará una notificación por cada deuda concreta y determinada con independencia de que ésta se tenga con el mismo o con distintos acreedores.

3. La notificación deberá efectuarse a través de un medio fiable, auditable e independiente de la entidad notificante, que la permita acreditar la efectiva realización de los envíos.

4. En todo caso, será necesario que el responsable del fichero pueda conocer si la notificación ha sido objeto de devolución por cualquier causa, en cuyo caso no podrá proceder al tratamiento de los datos referidos a ese interesado.

No se entenderán suficientes para que no se pueda proceder al tratamiento de los datos referidos a un interesado las devoluciones en las que el destinatario haya rehusado recibir el envío.

5. Si la notificación de inclusión fuera devuelta, el responsable del fichero común comprobará con la entidad acreedora que la dirección utilizada para efectuar esta notificación se corresponde con la contractualmente pactada con el cliente a efectos de comunicaciones y no procederá al tratamiento de los datos si la mencionada entidad no confirma la exactitud de este dato.

 Artículo 41 Conservación de los datos

1. Sólo podrán ser objeto de tratamiento los datos que respondan con veracidad a la situación de la deuda en cada momento concreto.

El pago o cumplimiento de la deuda determinará la cancelación inmediata de todo dato relativo a la misma.

2. En los restantes supuestos, los datos deberán ser cancelados cuando se hubieran cumplido seis años contados a partir del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico.

Artículo 42 Acceso a la información contenida en el fichero

1. Los datos contenidos en el fichero común sólo podrán ser consultados por terceros cuando precisen enjuiciar la solvencia económica del afectado. En particular, se considerará que concurre dicha circunstancia en los siguientes supuestos:

a) Que el afectado mantenga con el tercero algún tipo de relación contractual que aún no se encuentre vencida.

 b) Que el afectado pretenda celebrar con el tercero un contrato que implique el pago aplazado del precio.

 c) Que el afectado pretenda contratar con el tercero la prestación de un servicio de facturación periódica.

2. Los terceros deberán informar por escrito a las personas en las que concurran los supuestos contemplados en las letras b) y c) precedentes de su derecho a consultar el fichero.

En los supuestos de contratación telefónica de los productos o servicios a los que se refiere el párrafo anterior, la información podrá realizarse de forma no escrita, correspondiendo al tercero la prueba del cumplimiento del deber de informar.

En su informe 0280/2012, la Agencia de Protección de Datos señala que la Ley otorga expresamente al acreedor el derecho a obtener la información directamente del fichero, bien por sí misma, bien a través de un encargado del tratamiento. “De este modo, la intervención en este proceso del propio afectado, que además parece prestar su consentimiento para que el acreedor acceda a los datos que sobre el mismo se incluyan en los ficheros de solvencia patrimonial y crédito complica el proceso, toda vez que la ley Orgánica 15/1999 no exige ese consentimiento y a su vez permite al acreedor consultar el fichero.”

Pero, de este mismo informe, se deduce que si no se cumplen los requisitos exigidos en el artículo 42.1 del Reglamento, será preciso el consentimiento del afectado: “[…] dado que la entidad consultante recopila información de diversos ficheros de solvencia y otras fuentes sin ostentar ninguna de las condiciones establecidas en el artículo 42.1 del Reglamento de desarrollo de la Ley Orgánica 15/1999, debería encontrarse específicamente legitimado por el afectado para el acceso a esos datos.”

En consecuencia, cabe concluir que si el que pretende consultar los ficheros cumple los requisitos establecidos en el artículo 42 del Reglamento, no requerirá del consentimiento del afectado. Pero, en caso contrario, sí.

El informe 0147/2013 de la Agencia señala que: “[…] En el derecho español, los ficheros de información sobre solvencia patrimonial y crédito encuentran su base legal en la propia Ley Orgánica 15/1999 y se encuentran sometidos a estrictos criterios para limitar sus efectos negativos. Dicha regulación se complementa con lo dispuesto en su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre, cuyo artículo 42 especifica los supuestos en que resulta posible el acceso a la información contenida en este tipo de ficheros […]

De este modo, los criterios de ponderación para determinar si el derecho a tratar la información obrante en este tipo de ficheros prevalece sobre el derecho a la protección de datos del afectado (para poder aplicar el principio del interés legítimo) se encuentran expresamente recogidos en el artículo 42 del Reglamento de desarrollo de la Ley Orgánica 15/1999, por lo que solamente sería posible dicho acceso en el caso de que el consultante se encontrase en alguno de los supuestos previstos en dicho artículo.

[…]solamente quien se encuentre legalmente habilitado para acceder a un fichero de información sobre solvencia patrimonial y crédito, conforme a los criterios fijados en el artículo 42 del Reglamento de la Ley Orgánica 15/1999, podrá delegar la realización material de la consulta en un tercero.

Ahora bien para que dicho acceso en nombre y por cuenta de quien ostente dicha habilitación sea conforme a lo establecido en la Ley Orgánica 15/1999 sería preciso que quien efectúe el acceso ostente la condición de encargado del tratamiento del propietario, definido en el artículo 3 g) de dicha Ley como “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”.”

Artículo 43 Responsabilidad

1. El acreedor o quien actúe por su cuenta o interés deberá asegurarse que concurren todos los requisitos exigidos en los artículos 38 y 39 en el momento de notificar los datos adversos al responsable del fichero común.

2. El acreedor o quien actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre.

Artículo 44 Ejercicio de los derechos de acceso, rectificación, cancelación y oposición

1. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición se rige por lo dispuesto en los capítulos I a IV del título III de este reglamento, sin perjuicio de lo señalado en el presente artículo.

2. Cuando el interesado ejercite su derecho de acceso en relación con la inclusión de sus datos en un fichero regulado por el artículo 29.2 de la Ley Orgánica 15/1999, de 13 de diciembre, se tendrán en cuenta las siguientes reglas:

1.ª Si la solicitud se dirigiera al titular del fichero común, éste deberá comunicar al afectado todos los datos relativos al mismo que obren en el fichero.

En este caso, el titular del fichero común deberá, además de dar cumplimiento a lo establecido en el presente reglamento, facilitar las evaluaciones y apreciaciones que sobre el afectado se hayan comunicado en los últimos seis meses y el nombre y dirección de los cesionarios.

2.ª Si la solicitud se dirigiera a cualquier otra entidad participante en el sistema, deberá comunicar al afectado todos los datos relativos al mismo a los que ella pueda acceder, así como la identidad y dirección del titular del fichero común para que pueda completar el ejercicio de su derecho de acceso.

3. Cuando el interesado ejercite sus derechos de rectificación o cancelación en relación con la inclusión de sus datos en un fichero regulado por el artículo 29.2 de la Ley Orgánica 15/1999, de 13 de diciembre, se tendrán en cuenta las siguientes reglas:

1.ª Si la solicitud se dirige al titular del fichero común, éste tomará las medidas oportunas para trasladar dicha solicitud a la entidad que haya facilitado los datos, para que ésta la resuelva. En el caso de que el responsable del fichero común no haya recibido contestación por parte de la entidad en el plazo de siete días, procederá a la rectificación o cancelación cautelar de los mismos.

2.ª Si la solicitud se dirige a quien haya facilitado los datos al fichero común procederá a la rectificación o cancelación de los mismos en sus ficheros y a notificarlo al titular del fichero común en el plazo de diez días, dando asimismo respuesta al interesado en los términos previstos en el artículo 33 de este reglamento.

3.ª Si la solicitud se dirige a otra entidad participante en el sistema, que no hubiera facilitado al fichero común los datos, dicha entidad informará al afectado sobre este hecho en el plazo máximo de diez días, proporcionándole, además, la identidad y dirección del titular del fichero común para, que en su caso, puedan ejercitar sus derechos ante el mismo.