Ante la entrada en vigor de la normativa SEPA, muchas han sido (y están siendo) las empresas y administraciones que envían a sus clientes y administrados un formulario de actualización de sus datos bancarios para poder ordenar a su entidad financiera las domiciliaciones de las facturas y recibos.
En el último año, han caído en mis manos varios ejemplos de estos formularios. Analizando el contenido de los mismos (siempre, antes de firmarlos), me doy cuenta de que la mayoría de ellos con el fin de cumplir con la nueva normativa, dejan de cumplir otra: la Ley Orgánica de Protección de Datos. Lo cierto es que no se aprecia ninguna cláusula al respecto a pesar de que es indiscutible que es un formulario de recogida de datos de carácter personal.
Así las cosas, en este artículo trataré sobre la irregularidad del formulario tipo con el que se han hecho numerosos proveedores y administraciones, dando pautas para cumplir ambas normativas.
¿Qué entidades envían este formulario, y a quién?
A grandes rasgos, están obligados a pedir el código IBAN y BIC las empresas, administraciones, organizaciones y cualquiera otros que, a través de una entidad financiera domicilian la deuda de sus clientes o administrados para cobrar los importes de las facturas y recibos que les emiten. De este modo, en las relaciones comerciales y administrativas nos encontraremos varios supuestos de hecho, a saber:
- Empresa/autónomo/administración que envía el formulario a otra empresa/autónomo/administración; y
- Empresa/autónomo/administración que envía el formulario a clientes/administrados personas físicas
¿Cumple el formulario de actualización de datos bancarios las disposiciones que exige la LOPD?
Para una mayor comprensión del análisis que se desarrollará, partiremos de la anterior distinción entre supuestos fácticos:
- Si es una empresa, autónomo o administración quien envía el formulario a otra empresa, autónomo o administración
De conformidad con el art. 1 LOPD, esta normativa solamente se aplica respecto de las personas físicas. En consecuencia, no resultaría de aplicación en este supuesto concreto por cuanto quien va a cumplimentar el formulario será una persona jurídica (empresa o administración) o bien un autónomo en el marco de su actividad profesional.
Sin embargo, el caso de los autónomos es un tanto particular que merece ser matizado: ¿qué ocurre si la cuenta bancaria a la que se adeudan las facturas y recibos es la misma que utiliza para sus asuntos personales?
La Audiencia Nacional ha declarado que el número de cuenta corriente constituye un dato de carácter personal (SAN 09/07/2013, F.J.
A este respecto, y casi rozando lo absurdo, surge otra cuestión: ¿y cómo va a saber el acreedor qué tipo de uso dan a la cuenta corriente sus deudores?
Para solventar las dificultades que presenta el poder diferenciar sin ningún género de dudas cuando el dato de un empresario individual se refiere a su vida privada y cuando a su actividad profesional, la AEPD y los tribunales vienen considerando que la solución debe ser siempre la de aplicarles la LOPD como si de personas físicas se tratara. De hecho, ésta la opción que ofrece mayor seguridad jurídica al acreedor, en tanto que responsable del tratamiento.
2. Si es una empresa, autónomo o administración quien envía el formulario a sus clientes o administrados personas físicas
No cabe duda aquí que la LOPD resulta plenamente de aplicación puesto que en este supuesto el deudor es una persona física. En este caso, y de conformidad con el art. 5 de dicha normativa, el acreedor debe incluir necesariamente una cláusula en el formulario en virtud de la cual informe previamente sobre las circunstancias de la recogida de datos indicando especialmente quién es el responsable del tratamiento; dónde se ubica; el motivo por el que se recogen estos datos; su finalidad; quiénes serán los destinatarios; cómo y ante quién podrá ejercer sus derechos de acceso, rectificación, cancelación u oposición.
Sí es cierto que muchos formularios tipo ofrecen un apartado informativo que dice así: "Mediante la firma de esta orden de domiciliación, el deudor autoriza (A) al acreedor a enviar instrucciones a la entidad del deudor para adeudar a su cuenta y (B) a la entidad para efectuar los adeudos a su cuenta siguiendo las instrucciones del acreedor. Como parte de sus derechos, el deudor está legitimado al reembolso por su entidad en los términos y condiciones del contrato suscrito con la misma. La solicitud de reembolso deberá efectuarse dentro de las ocho semanas siguientes a la fecha del adeudo en cuenta. Puede obtener información adicional sobre sus derechos en su entidad financiera."
No obstante, considero que dicho contenido hace referencia a cuestiones del procedimiento financiero vinculado a SEPA, y que en ningún caso representa ni sustituye el deber de información al que se refiere la normativa de protección de datos a los efectos de entenderlo por cumplido. Por tanto, tratándose de informaciones independientes entre sí, ambas deben convergir en un mismo documento sin que ninguna de ellas pueda confundirse o suplantar a la otra.
Sentado lo anterior, y con independencia del supuesto fáctico ante el que nos encontremos y que deba regularse por la LOPD (esto es, deudores autónomos en los que no se pueda diferenciar si el dato facilitado se refiere a su vida privada o profesional, o deudores personas físicas en general), ¿será preciso obtener el consentimiento del deudor para tratar los datos de su cuenta corriente a los efectos del art. 6.1 LOPD?
Si bien el art. 6.1 LOPD establece dicha obligatoriedad, dado el contexto y que ambas partes estarán ligadas por una relación contractual previa –sea negocial, laboral o administrativa- no será obligatorio recabar su consentimiento puesto que siempre nos encontraremos ante una de las siguientes excepciones que prevé el art. 6.2 LOPD:
- Bien porque los datos se recogerán para el ejercicio de las funciones propias de la administración pública en el ámbito de sus competencias (Ej: cuando el acreedor sea la administración para cobrar sus tributos a los contribuyentes); o,
- Bien porque se referirá a partes de un contrato o precontrato de una relación negocial, laboral o administrativa y los datos serán necesarios para su mantenimiento o cumplimiento, esto será, cumplir la normativa SEPA. (Ej.: cuando el acreedor sea una empresa, autónomo o administración y solicite la orden de domiciliación a su deudor ergo, su cliente o administrado como parte de la relación comercial o administrativa que mantienen, respectivamente).
Ahora bien, el hecho de que no resulte obligatorio solicitar el consentimiento del interesado no obsta para que no se le informe al respecto, puesto que considero que son obligaciones diferentes e independientes entre sí.
Yendo un poco más allá con la casuística y para rizar el rizo, ¿qué ocurre si en la cuenta bancaria que se ha indicado para adeudar facturas y recibos existe un cotitular persona física?
A vueltas con el art. 1 LOPD e independientemente de que al propio deudor le sea de aplicación o no la normativa en materia de protección de datos el acreedor, al confeccionar el formulario, deberá contemplar la posibilidad de que existan cotitulares en la cuenta corriente indicada, y permitirles que indiquen su nombre y firmen una vez leída la cláusula de información previa a la que se refiere el art. 5 LOPD.
Por otra parte, ¿será preciso en este caso obtener el consentimiento del cotitular de conformidad con el art. 6.1 LOPD?
Dado que el cotitular de la cuenta no necesariamente tiene porque estar ligado con el acreedor por ninguna relación jurídica, es obvio que se deberá obtener su consentimiento al respecto.
A continuación y a modo de resumen, propongo el siguiente cuadro gráfico que recoge las reflexiones expuestas:
ACREEDOR: Empresa, autónomo, administración |
Aplicación LOPD |
Solicitud información |
Solicitud consentimiento |
Justificación LOPD/RLOPD |
TIPO DEUDOR |
||||
Empresa, SL |
NO |
NO |
NO |
Art. 1 LOPD, art. 2.2 RLOPD |
Administración |
NO |
NO |
NO |
Art. 1 LOPD, art. 2.2 RLOPD |
Autónomo |
NO |
NO |
NO |
Art. 2.3 RLOPD: Si el dato se refiere a su actividad profesional. |
Persona física |
SÍ |
SI |
NO |
Art. 5 y 6.2 LOPD: Por estar vinculado a su acreedor por una relación comercial o administrativa. |
OTROS SUPUESTOS |
||||
Autónomo |
SÍ |
SI |
NO |
AN: Cuando existan dudas sobre si el dato se refiere a su vida privada o profesional. Es la opción más segura. |
Cotitulares c/c personas físicas |
SÍ |
SI |
SÍ |
Art. 5 y 6 LOPD: Cuando no esté vinculado al acreedor. |
Como el lector se puede imaginar, la casuística puede ser inmensa –lo que implica analizar cada caso concreto-; el tenor literal de la normativa es el que es; y, siguiendo estrictamente sus mandatos, la realidad práctica resulta incluso absurda. Por ello, recomiendo a los que envían formularios pidiendo códigos IBAN y BIC y que están leyendo este artículo (espero que así sea) que, con independencia de quien sea su destinatario, incluyan al pie del mismo una cláusula relativa a la Ley de Protección de Datos en virtud de la cual:
- Informen sobre las circunstancias para las que recoge los datos;
- Permitan al deudor indicar la existencia o no de cotitulares en la cuenta corriente facilitada y, en su caso, que les identifique;
- Le hagan declarar sobre la veracidad y exactitud de sus manifestaciones, eximiéndose el acreedor de posibles responsabilidades al respecto;
- Soliciten el consentimiento de todos (corresponda o no); y,
- Dejen espacio suficiente para cuantas firmas procedan.
Para facilitar las cosas, un ejemplo de cláusula podría ser la siguiente:
“De conformidad con la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal, el titular/es de los datos que se han facilitado en este documento queda/n informado/s y presta/n su consentimiento para que (nombre empresa), en calidad de responsable del tratamiento, incorpore y trate sus datos personales así como el resto de los que facilite. La finalidad es permitir realizar las actividades propias de (nombre empresa). El/los titular/es de los datos podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición mediante comunicación dirigida a (nombre empresa y dirección postal) o a la dirección de correo electrónico (indicar). Asimismo, el/los titular/es declara/n que los datos y cuantas manifestaciones han formulado en este documento son veraces y exactos. (nombre empresa) se exime de cualquier responsabilidad derivada de la falsedad e inexactitud de los mismos.
Localidad y fecha:
Existen cotitulares de la c/c facilitada: SÍ / NO
En caso afirmativo, indicar nombre/s:
Firma titular Firma cotitular/es”
Otros sistemas que se están utilizando para adecuarse a SEPA: Google Drive
He tenido la oportunidad de observar como empresas proveedores solicitan a sus clientes los códigos IBAN y BIC haciéndoles rellenar un formulario mediante un enlace directo a la aplicación de Google Inc., “Google Drive”.
Sin pretender entrar en más detalles, cabe decir que utilizar este sistema supone un choque frontal con la normativa española de protección de datos. Todos los datos personales que introduzca el deudor quedaran también en poder de Google, lo cual es un riesgo. Desaconsejo este tipo de tecnologías para recabar este tipo de datos (por muy cómodo y práctico que sea), así como desaconsejo rellenar y enviar estos formularios con datos personales.
Si al deudor se le pide actualizar sus datos bancarios mediante un enlace a un formulario de Google, deberá contactar con el acreedor para que le facilite el mismo en papel. Y ya de paso, advertirle que le incluya la cláusula sobre protección de datos, o no firma y él no cobra.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación