Conócenos

PROTECCIÓN DE DATOS

Reflexiones sobre el formulario de adaptación a SEPA desde la perspectiva de la Protección de Datos

Por Cristina Ribas Casademont

  • Imprimir

Cristina Ribas

Ante la entrada en vigor de la normativa SEPA, muchas han sido (y están siendo) las empresas y administraciones que envían a sus clientes y administrados un formulario de actualización de sus datos bancarios para poder ordenar a su entidad financiera las domiciliaciones de las facturas y recibos.

En el último año, han caído en mis manos varios ejemplos de estos formularios. Analizando el contenido de los mismos (siempre, antes de firmarlos), me doy cuenta de que la mayoría de ellos con el fin de cumplir con la nueva normativa, dejan de cumplir otra: la Ley Orgánica de Protección de Datos. Lo cierto es que no se aprecia ninguna cláusula al respecto a pesar de que es indiscutible que es un formulario de recogida de datos de carácter personal.

Así las cosas, en este artículo trataré sobre la irregularidad del formulario tipo con el que se han hecho numerosos proveedores y administraciones, dando pautas para cumplir ambas normativas. 

¿Qué entidades envían este formulario, y a quién?

A grandes rasgos, están obligados a pedir el código IBAN y BIC las empresas, administraciones, organizaciones y cualquiera otros que, a través de una entidad financiera domicilian la deuda de sus clientes o administrados para cobrar los importes de las facturas y recibos que les emiten. De este modo, en las relaciones comerciales y administrativas nos encontraremos varios supuestos de hecho, a saber:

  1. Empresa/autónomo/administración que envía el formulario a otra empresa/autónomo/administración; y
  2. Empresa/autónomo/administración que envía el formulario a clientes/administrados personas físicas


¿Cumple el formulario de actualización de datos bancarios las disposiciones que exige la LOPD?

Para una mayor comprensión del análisis que se desarrollará, partiremos de la anterior distinción entre supuestos fácticos:

  1. Si es una empresa, autónomo o administración quien envía el formulario a otra empresa, autónomo o administración

De conformidad con el art. 1 LOPD, esta normativa solamente se aplica respecto de las personas físicas. En consecuencia, no resultaría de aplicación en este supuesto concreto por cuanto quien va a cumplimentar el formulario será una persona jurídica (empresa o administración) o bien un autónomo en el marco de su actividad profesional.

Sin embargo, el caso de los autónomos es un tanto particular que merece ser matizado: ¿qué ocurre si la cuenta bancaria a la que se adeudan las facturas y recibos es la misma que utiliza para sus asuntos personales?

La Audiencia Nacional ha declarado que el número de cuenta corriente constituye un dato de carácter personal (SAN 09/07/2013, F.J. 3 in fine) de modo que, al menos en lo que respecta a dicho dato, ya no estaríamos ante un autónomo en el marco de su actividad profesional, sino privada. En consecuencia, en este supuesto concreto sí serían de aplicación las disposiciones de la LOPD y el acreedor debería informarle previamente sobre la recogida de datos y sus circunstancias (ex art. 5 LOPD).

A este respecto, y casi rozando lo absurdo, surge otra cuestión: ¿y cómo va a saber el acreedor qué tipo de uso dan a la cuenta corriente sus deudores?

Para solventar las dificultades que presenta el poder diferenciar sin ningún género de dudas cuando el dato de un empresario individual se refiere a su vida privada y cuando a su actividad profesional, la AEPD y los tribunales vienen considerando que la solución debe ser siempre la de aplicarles la LOPD como si de personas físicas se tratara. De hecho, ésta la opción que ofrece mayor seguridad jurídica al acreedor, en tanto que responsable del tratamiento.

2. Si es una empresa, autónomo o administración quien envía el formulario a sus clientes o administrados personas físicas

No cabe duda aquí que la LOPD resulta plenamente de aplicación puesto que en este supuesto el deudor es una persona física. En este caso, y de conformidad con el art. 5 de dicha normativa, el acreedor debe incluir necesariamente una cláusula en el formulario en virtud de la cual informe previamente sobre las circunstancias de la recogida de datos indicando especialmente quién es el responsable del tratamiento; dónde se ubica; el motivo por el que se recogen estos datos; su finalidad; quiénes serán los destinatarios; cómo y ante quién podrá ejercer sus derechos de acceso, rectificación, cancelación u oposición.

Sí es cierto que muchos formularios tipo ofrecen un apartado informativo que dice así: "Mediante la firma de esta orden de domiciliación, el deudor autoriza (A) al acreedor a enviar instrucciones a la entidad del deudor para adeudar a su cuenta y (B) a la entidad para efectuar los adeudos a su cuenta siguiendo las instrucciones del acreedor. Como parte de sus derechos, el deudor está legitimado al reembolso por su entidad en los términos y condiciones del contrato suscrito con la misma. La solicitud de reembolso deberá efectuarse dentro de las ocho semanas siguientes a la fecha del adeudo en cuenta. Puede obtener información adicional sobre sus derechos en su entidad financiera."

No obstante, considero que dicho contenido hace referencia a cuestiones del procedimiento financiero vinculado a SEPA, y que en ningún caso representa ni sustituye el deber de información al que se refiere la normativa de protección de datos a los efectos de entenderlo por cumplido. Por tanto, tratándose de informaciones independientes entre sí, ambas deben convergir en un mismo documento sin que ninguna de ellas pueda confundirse o suplantar a la otra. 

Sentado lo anterior, y con independencia del supuesto fáctico ante el que nos encontremos y que deba regularse por la LOPD (esto es, deudores autónomos en los que no se pueda diferenciar si el dato facilitado se refiere a su vida privada o profesional, o deudores personas físicas en general), ¿será preciso obtener el consentimiento del deudor para tratar los datos de su cuenta corriente a los efectos del art. 6.1 LOPD?

Si bien el art. 6.1 LOPD establece dicha obligatoriedad, dado el contexto y que ambas partes estarán ligadas por una relación contractual previa –sea negocial, laboral o administrativa- no será obligatorio recabar su consentimiento puesto que siempre nos encontraremos ante una de las siguientes excepciones que prevé el art. 6.2 LOPD:

  • Bien porque los datos se recogerán para el ejercicio de las funciones propias de la administración pública en el ámbito de sus competencias (Ej: cuando el acreedor sea la administración para cobrar sus tributos a los contribuyentes); o,
  • Bien porque se referirá a partes de un contrato o precontrato de una relación negocial, laboral o administrativa y los datos serán necesarios para su mantenimiento o cumplimiento, esto será, cumplir la normativa SEPA. (Ej.: cuando el acreedor sea una empresa, autónomo o administración y solicite la orden de domiciliación a su deudor ergo, su cliente o administrado como parte de la relación comercial o administrativa que mantienen, respectivamente).

Ahora bien, el hecho de que no resulte obligatorio solicitar el consentimiento del interesado no obsta para que no se le informe al respecto, puesto que considero que son obligaciones diferentes e independientes entre sí. 

Yendo un poco más allá con la casuística y para rizar el rizo, ¿qué ocurre si en la cuenta bancaria que se ha indicado para adeudar facturas y recibos existe un cotitular persona física?

A vueltas con el art. 1 LOPD e independientemente de que al propio deudor le sea de aplicación o no la normativa en materia de protección de datos el acreedor, al confeccionar el formulario, deberá contemplar la posibilidad de que existan cotitulares en la cuenta corriente indicada, y permitirles que indiquen su nombre y firmen una vez leída la cláusula de información previa a la que se refiere el art. 5 LOPD.

Por otra parte, ¿será preciso en este caso obtener el consentimiento del cotitular de conformidad con el art. 6.1 LOPD?

Dado que el cotitular de la cuenta no necesariamente tiene porque estar ligado con el acreedor por ninguna relación jurídica, es obvio que se deberá obtener su consentimiento al respecto.

A continuación y a modo de resumen, propongo el siguiente cuadro gráfico que recoge las reflexiones expuestas:

ACREEDOR:

Empresa, autónomo,

administración

Aplicación LOPD

Solicitud información

Solicitud  consentimiento

Justificación

LOPD/RLOPD

TIPO DEUDOR

Empresa, SL

NO

NO

NO

Art. 1 LOPD, art. 2.2 RLOPD

Administración

NO

NO

NO

Art. 1 LOPD, art. 2.2 RLOPD

Autónomo

NO

NO

NO

Art. 2.3 RLOPD: Si el dato se refiere a su actividad profesional.

Persona física

SI

NO

Art. 5 y 6.2 LOPD: Por estar vinculado a su acreedor por una relación comercial o administrativa.

OTROS SUPUESTOS

Autónomo

SI

NO

AN: Cuando existan dudas sobre si el dato se refiere a su vida privada o profesional. Es la opción más segura.

Cotitulares c/c personas físicas

SI

Art. 5 y 6 LOPD: Cuando no esté vinculado al acreedor.


Como el lector se puede imaginar, la casuística puede ser inmensa –lo que implica analizar cada caso concreto-; el tenor literal de la normativa es el que es; y, siguiendo estrictamente sus mandatos, la realidad práctica resulta incluso absurda. Por ello, recomiendo a los que envían formularios pidiendo códigos IBAN y BIC y que están leyendo este artículo (espero que así sea) que, con independencia de quien sea su destinatario, incluyan al pie del mismo una cláusula relativa a la Ley de Protección de Datos en virtud de la cual:

  • Informen sobre las circunstancias para las que recoge los datos;
  • Permitan al deudor indicar la existencia o no de cotitulares en la cuenta corriente facilitada y, en su caso, que les identifique;
  • Le hagan declarar sobre la veracidad y exactitud de sus manifestaciones, eximiéndose el acreedor de posibles responsabilidades al respecto;
  • Soliciten el consentimiento de todos (corresponda o no); y,
  • Dejen espacio suficiente para cuantas firmas procedan.

Para facilitar las cosas, un ejemplo de cláusula podría ser la siguiente: 

“De conformidad con la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, el titular/es de los datos que se han facilitado en este documento queda/n informado/s y presta/n su consentimiento para que (nombre empresa), en calidad de responsable del tratamiento, incorpore y trate sus datos personales así como el resto de los que facilite. La finalidad es permitir realizar las actividades propias de (nombre empresa). El/los titular/es de los datos podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición mediante comunicación dirigida a (nombre empresa y dirección postal) o a la dirección de correo electrónico (indicar). Asimismo, el/los titular/es declara/n que los datos y cuantas manifestaciones han formulado en este documento son veraces y exactos. (nombre empresa) se exime de cualquier responsabilidad derivada de la falsedad e inexactitud de los mismos. 

Localidad y fecha: 

Existen cotitulares de la c/c facilitada: SÍ  / NO      

En caso afirmativo, indicar nombre/s: 

 

Firma titular                           Firma cotitular/es”


Otros sistemas que se están utilizando para adecuarse a SEPA: Google Drive

He tenido la oportunidad de observar como empresas proveedores solicitan a sus clientes los códigos IBAN y BIC haciéndoles rellenar un formulario mediante un enlace directo a la aplicación de Google Inc., “Google Drive”.

Sin pretender entrar en más detalles, cabe decir que utilizar este sistema supone un choque frontal con la normativa española de protección de datos. Todos los datos personales que introduzca el deudor quedaran también en poder de Google, lo cual es un riesgo. Desaconsejo este tipo de tecnologías para recabar este tipo de datos (por muy cómodo y práctico que sea), así como desaconsejo rellenar y enviar estos formularios con datos personales.

Si al deudor se le pide actualizar sus datos bancarios mediante un enlace a un formulario de Google, deberá contactar con el acreedor para que le facilite el mismo en papel. Y ya de paso, advertirle que le incluya la cláusula sobre protección de datos, o no firma y él no cobra.

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Procedimientos de seguridad. Control de acceso

    Unos de los procesos a implementar en el despacho jurídico es el del control de acceso a los lugares del despacho donde se almacenan datos personales.

  • Procedimientos de seguridad

    Unos de los procesos a implementar en el despacho jurídico es el de la identificación y autenticación de usuarios en aquellos sistemas de información desde los que se gestionen datos personales.

  • Medidas de seguridad para ficheros no automatizados

    Antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1
feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17