1/34

Procedimiento Nº PS/00350/2010 RESOLUCIÓN: R/00012/2011 En el procedimiento sancionador PS/00350/2010, instruido por la Agencia Española de Protección de Datos a la entidad Cofidis Hispania Establecimiento Financiero de Crédito, S.A.U., vistas las denuncias presentadas por nueve denunciantes, y con base en los siguientes ANTECEDENTES PRIMERO: Se han recibido en la Agencia Española de Protección de Datos (en lo sucesivo AEPD) los escritos de denuncia contra Cofidis Hispania, Establecimiento Financiero de Crédito, S.A.U. (en adelante Cofidis), que se relacionan a continuación: 1.

Con fecha 18/11/2009 tuvo entrada en la AEPD un escrito del denunciante 1, en el que expone que Cofidis, por el impago de una o dos cuotas, efectúa numerosas llamadas telefónicas a todas horas y que, en las últimas llamadas realizadas, amenaza con llamar a familiares y vecinos para comunicar su situación. Con su denuncia ha aportado soporte informático con una grabación de un mensaje de voz registrado en su teléfono el 16/11/2009.

2.

Con fecha 18/09/2009 se registró en la AEPD escrito de la denunciante 2 en el que denuncia que el 19/08/2009 recibió un mensaje de Cofidis en el contestador telefónico de su casa, en la que viven sus hijos y su nuera, en el que se daba información sobre un préstamo contratado. Con su denuncia ha aportado trascripción del mensaje telefónico.

3.

Con fecha 12/08/2009 se recibió en la AEPD la denuncia presentada por el denunciante 3, en la que expone que Cofidis vulnera el artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD) al comunicar a personas de su entono personal y laboral (incluso a vecinos de su vivienda), para que le transmitan que tiene que ponerse en contacto con esta entidad porque les debe dinero. Con su denuncia ha adjuntado copia de faxes recibidos en su lugar de trabajo y declaraciones de varias personas que han recibido llamadas de Cofidis.

4.

Con fecha 16/11/2009 se registró en la AEPD un escrito de la denunciante 4, el que expone que debido al retraso en el pago de sus cuotas recibe llamadas telefónicas amenazantes y faxes en el trabajo. Con su escrito ha aportado copia de fax recibido, de fecha 06/10/2009

5.

Con fecha 21/12/2009 tuvo entrada en la AEPD un escrito del denunciante 5, en el que se denuncia que Cofidis realiza llamadas telefónicas a familiares y vecinos.

6.

Con fecha 04/02/2010 se registró en la AEPD un escrito del denunciante 6, en el que manifiesta que Cofidis realiza numerosas llamadas de teléfono por el retraso en el pago de una financiación y que ha remitido a

c. Jorge Juan 6

28001 Madrid

www.agpd.es

su centro de trabajo un fax, de fecha 27/01/2010, del que adjunta copia. 7.

Con fecha 02/03/2010 se recibieron en la AEPD tres escritos del denunciante 7, en los que expone que Cofidis ha llamado a su centro de trabajo para solicitar un número de fax, al que ha remitido varios escritos, de fechas 20/01/2010, 19/02/2010 y 24/02/2010, de los que aporta copia.

8.

Con fecha 12/04/2010 tuvo entrada en la AEPD un escrito de la denunciante 8, en el que expone que solicitó la cancelación de un telefóno fijo que figuraba en los ficheros de Cofidis y que, a pesar de esta solicitud atendida por esta entidad, ha vuelto ha recibir llamadas en ese número.

9.

Con fecha 29/03/2010 se recibió en la AEPD denuncia presentada por la denunciante 9, en la que expone que Cofidis ha remitido a su centro de trabajo un fax, de fecha 25/02/2010, y aporta copia del mismo.

SEGUNDO: Tras la recepción de las denuncias, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de actuaciones de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos en las visitas de inspección efectuadas en Cofidis con fechas 21/04/2010 y 06/05/2010, constatándose lo siguiente: 1.

Cofidis es un establecimiento financiero especializado en créditos al consumo, y, en la actualidad, se ha incrementado de forma notable el número de clientes en situación de mora.

2.

Las gestiones de recobro de impagados se realizan por la propia entidad, sin que estas actuaciones estén encomendados a ninguna empresa externa, hasta que los expedientes pasan a la fase de contencioso.

3.

Procedimiento para la gestión de recobro (se ha recogido en el Hecho Probado Segundo).

4.

En relación con las llamadas telefónicas, han aportado copia del documento “Gestión de una llamada a terceros” que contiene el “Argumentario” a utilizar cuando se realicen llamadas a familiares, vecinos o empresa del cliente y que se entrega a todos los trabajadores que las realizan. Este documento contiene, entre otras, las siguientes normas: 4.1. El objetivo del contacto con terceros es dejar un mensaje discreto y obtener información que permita contactar con el cliente. 4.2. No se dará ningún tipo de información de la deuda a terceros (salvo que se tenga autorización por escrito del cliente). 4.3. Evitar reclamaciones de los clientes con respecto a la gestión con terceros. 4.4. Cuando en un teléfono directo del cliente se contacta con un familiar hay que identificarse con el nombre del gestor, solicitar parentesco con el cliente y anotarlo en el Bloc de Notas. 4.5. Cuando en un teléfono directo del cliente se contacta con un tercero, hay que identificarse con el nombre del gestor y dejar

3/34

recado para el cliente (que llame al teléfono….). 4.6. Cuando se realizan búsquedas de posibles familiares y se contacta hay que identificarse con el nombre del gestor, confirmar si es familiar del titular y dejar recado para el cliente (que llame al teléfono….). 4.7.

Cuando se realizan búsquedas de vecinos y se contacta hay que identificarse con el nombre del gestor, confirmar si es familiar del titular y dejar recado para el cliente indicando que es vecino del Piso X (que llame al teléfono….), en el caso de que no lo conozca se le pide que le deje un mensaje en el buzón.

4.8. Cuando se contacta con la empresa del cliente, hay que identificarse con el nombre del gestor, hacer un sondeo básico (horario, departamento, teléfono directo…) y dejar recado para el cliente (que llame al teléfono….). 4.9. En las llamadas entrantes de terceros (familiares), hay que identificar el parentesco y el nombre de la persona que llama, preguntar el motivo de la llamada y anotar en el Bloc de notas el resultado de la conversación. No facilitar información crediticia de los clientes, salvo autorización por escrito. 4.10. En las llamadas entrantes de terceros (vecinos, abogados, empresa etc.), hay que identificar quien llama y el motivo de la llamada y anotar en el Bloc de notas el resultado de la conversación. No facilitar información crediticia de los clientes, salvo autorización por escrito De acuerdo con el procedimiento descrito, las llamadas de teléfono se realizan, en principio, a los teléfonos facilitados por los propios clientes. Sin embargo, en el caso en que no sea posible contactar con ellos, se realizan búsquedas de posibles teléfonos de contacto en los repertorios telefónicos (Páginas Blancas y QDQ), utilizando como criterios de búsqueda el nombre y apellidos y la localidad del domicilio del cliente, o bien cualquier dato que el cliente haya facilitado en el contrato suscrito, así como la información que figura en la documentación aportada en la solicitud del crédito (DNI y justificante de nómina). De esta forma, se obtienen “posibles teléfonos de contacto” de un cliente a través de llamadas a familiares (padres o hermanos), cuyos datos de números de teléfono se buscan de la forma descrita en el punto anterior y en el caso de los padres, además, a partir de los nombres de los mismos, que constan en el DNI del cliente. 5.

Las búsquedas de teléfono de vecinos del cliente, se realizan también en los citados repertorios, utilizando como criterio de búsqueda el domicilio que ha facilitado el cliente, y nombres y/o apellidos de uso frecuente como por ejemplo: López, Pérez o José, María, Juan.

6.

En las llamadas realizadas, una vez confirmada la relación del interlocutor con el cliente, se solicita que se traslade al cliente el “aviso” de que contacte con Cofidis para un asunto urgente.

7.

Así mismo, se remiten “avisos” a través de fax dirigidos al cliente y remitidos a sus centros de trabajo o de llamadas a los mismos, cuyos números tanto de

c. Jorge Juan 6

28001 Madrid

www.agpd.es

teléfono como de fax se obtienen de fuentes accesibles al público a partir del nombre de la empresa que consta en el justificante de nómina. 8.

Una vez finalizadas las fases de gestión de recobros, se inicia la fase denominada “Contencioso”, en la que se sigue realizando una gestión de recobro amistoso y que tiene una duración de seis meses, una vez trascurridos los cuales los expedientes se pasan bien a “fallidos” o se inicia un procedimiento judicial. La gestión de los expedientes en la fase de “Contencioso” se realiza por las empresas Contentia France, Sociedad Anónima, Sucursal en España S.A., Gabinete Técnico Contencioso Gescobro S.L. y Eficco Iberia S.A.) con las que la entidad ha suscrito los correspondientes contratos de prestación de servicios, cuya copia, ha sido aportada en la Inspección.

9.

Respecto a la titularidad de los números de teléfono 9***TELF1, 9***TELF2, 9***TELF3, 9***TELF4, y 9***TELF5, que se citan en algunas de las denuncias recibidas en la Agencia, los representantes de Cofidis han confirmado que la titularidad de los mismos corresponde a la entidad inspeccionada.

10.

La entidad dispone de una “bloc de notas informático” (el detalle se ha recogido en el Hecho Probado Tercero).

Respecto a los denunciantes números 8 y 9, se ha solicitado a Cofidis que remita la información por escrito, dado que ambas denuncias se han incorporado a las actuaciones previas con posterioridad a la realización de la Inspección. TERCERO: Con fecha 23/07/2010 el Director de la Agencia Española de Protección de Datos (en adelante AEPD) acordó iniciar un procedimiento sancionador a Cofidis, por la presunta comisión de infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.g) de la citada Ley Orgánica. CUARTO: Notificado el acuerdo de inicio Cofidis solicitó que se dictara resolución por la que se archivase el procedimiento y, subsidiariamente, que se calificase la infracción como leve, con fundamento en las siguientes alegaciones: 1.

En las visitas de inspección efectuadas en Cofidis se pudo constatar que esta entidad aplica unos métodos de recobro que son plenamente respetuosos con los derechos de sus clientes y respetan plenamente la legalidad vigente. Así, en las normas que se entregan a los gestores de recobro figura como instrucción que siempre deben buscar un contacto personal directo con el cliente en su domicilio o móvil personal, que el contacto con tercero es totalmente excepcional, únicamente utilizable si resulta imposible contactar con el cliente y con el único fin de dejar un mensaje para contactar con el titular o que, bajo ningún concepto, deben comunicarse informaciones de los clientes a terceros.

2.

Inexistencia de vulneración de la normativa de protección de datos en los hechos denunciados.

a) El mensaje aportado por el denunciante 1 no revela ningún dato personal del denunciante y, además, está registrado en su teléfono personal. No consta en el Bloc de notas que se contactase con terceros.

5/34

b) El mensaje que la denunciante 2 manifiesta haber recibido se efectuó, en todo caso, en el teléfono personal facilitado por la titular del contrato, en ningún caso en el teléfono de un tercero. No consta en el Bloc de notas que se facilitara datos de la cliente a terceros, ya que siempre se llamó a los teléfonos personales de la titular. c) El denunciante 3 ha aportado dos declaraciones de compañeros de trabajo con contenido idéntico, dos declaraciones de vecinos que manifiestan que llamara a Cofidis, varios ejemplares del fax tipo que remite Cofidis para obtener contacto con los titulares. No consta en el Bloc de notas que se facilitara datos del cliente a terceros y figuran distintas anotaciones de los gestores que corroboran que los mensajes dejados a familiares y compañeros de trabajo únicamente iban dirigidos a obtener un contacto con el mismo, sin facilitar dato alguno de la deuda. Por otra parte, los faxes aportados junto con la denuncia no revelan dato alguno del titular a terceros. d) En lo que se refiere a los hechos denunciados por la denunciante 4, no consta prueba de cargo acerca de las supuestas llamadas amenazadoras efectuadas por Cofidis y tampoco consta en el Bloc de notas anotación alguna de las gestiones de recobro al encontrarse al corriente de pago desde abril de 2010. e) Respecto a la denuncia del denunciante 5, no consta prueba de cargo alguna acerca de las supuesta llamadas amenazantes efectuadas por Cofidis a ningún vecino y que la entidad niega rotundamente. No consta en Bloc de notas que se efectuaran llamadas a vecinos del denunciante, únicamente consta el contacto telefónico con algún compañero de trabajo, solicitándole que dejase nota al mismo para que se pusiera en contacto con Cofidis. f)

El denunciante 6 no denuncia en ningún momento el contacto telefónico ni la revelación de datos del titular a terceras personas, únicamente aporta copia de un fax tipo con su denuncia.

g) El denunciante 7 no denuncia en ningún momento el contacto telefónico ni la revelación alguna de datos del titular a terceras personas, únicamente adjunta copia del fax citado. h) Los hechos denunciados por la denunciante 8 no se refieren a la posible revelación de datos a terceros, sino que hace mención al ejercicio del derecho de rectificación de sus datos de carácter personal. En Bloc de notas figura que se llamó al teléfono fijo de su empresa a los únicos efectos de poder contactar de algún modo con la misma y sin facilitar en ningún momento información acerca de la deuda o de la relación de la titular con Cofidis. i)

La denunciante 9 no denuncia en ningún momento el contacto telefónico ni la revelación alguna de datos del titular a terceras personas, únicamente adjunta copia del fax tipo.

Por ello, cabe concluir que las denuncias versan sobre el envío de faxes a los lugares de trabajo, el contacto con familiares o vecinos cuando no se puede contactar con los

c. Jorge Juan 6

28001 Madrid

www.agpd.es

titulares y los mensajes de voz dejados en los contestadores personales de los titulares. En ningún caso, en los faxes aportados se hace referencia a las deudas de los titulares, por lo que no puede imputarse la infracción del deber de secreto. En cuanto al contacto con vecinos y familiares, además de ser excepcional, tampoco se revela información a terceros, únicamente se pretende obtener la localización del deudor para poder dirigirse a él. Los mensajes que se dejan en el contestador son mensajes privados en el teléfono personal facilitado por el titular, por lo que tampoco se está revelando ningún dato a terceros. No puede obviarse que las acciones de Cofidis encaminadas al cobro legítimo de sus deudas derivan de un incumplimiento de sus obligaciones por parte de los titulares de dichas deudas, tanto por incumplir con su obligación de pago como por incumplir con la obligación de facilitar a Cofidis un domicilio y teléfonos de contacto. 3.

Resoluciones similares de la AEPD en asuntos de Cofidis. La propia Agencia ha analizado en dos supuestos anteriores respecto a hechos idénticos a los ahora denunciados, tanto en lo relativo a llamadas efectuadas a terceros como en el envío de fax para contactar con el titular del crédito, alcanzando la conclusión en ambos supuestos de que Cofidis no había cometido infracción alguna. En concreto, son el expediente E/00472/2006, relativo a llamadas a vecinos, y la resolución del PS/00009/2007, en un asunto en el que remitieron faxes idénticos a los ahora analizados.

Por ello, visto el criterio de la propia AEPD en asuntos análogos a los del presente procedimiento, no procede imputar a Cofidis infracción alguna en aplicación de los principios de culpabilidad, buena fe y confianza legítima. 4.

Resoluciones similares de la AEPD en E/01254/2006, E/00831/2007, E/00883/2007.

asuntos

análogos:

5.

Calificación de la infracción como leve y, subsidiariamente, aplicación de lo previsto en el artículo 45 de la LOPD.

En los escasos supuestos en que la AEPD ha decidido no archivar y, siempre en supuestos más graves y en los que ha quedado indudablemente acreditado que se había producido una revelación de datos a terceros, la AEPD ha considerado tales infracciones como leves y no como graves y ha aplicado un criterio de proporcionalidad. Por ejemplo, las resoluciones de los procedimientos PS/00478/2007, PS/00654/2008, PS/00002/2009, PS/00541/2008, PS/00612/2009, PS/00575/2009, y PS/00188/2008. QUINTO: Con fecha 28/09/2010 el Instructor del procedimiento acordó la apertura de un período de pruebas, teniéndose por practicadas las actuaciones y documentos obrantes en las actuaciones previas de investigación E/03749/2009 y el resto de la documentación que figura en el procedimiento. Se acordó solicitar a Cofidis que aportase información y documentación sobre las reclamaciones presentadas por los denunciantes ante organismos de consumo y, en su caso, las denuncias presentadas ante la Dirección General de la Policía y de la Guardia Civil y, en su caso, en órganos judiciales. También se acordó solicitar la siguiente información y documentación: A) A la

7/34

denunciante 2, que aportara copia de la grabación del mensaje de voz cuya trascripción había adjuntado con su denuncia. B) A los denunciantes 2, 4, 6, 7 y 9, que informaran si había presentado por los mismos hechos reclamaciones ante organismos de consumo o denuncias ante la Dirección General de la Policía y de la Guardia Civil y, en su caso, en órganos judiciales. C) A los denunciantes 3 y 5 que aportasen declaraciones suscritas por las personas que, según la denuncia, recibieron llamadas desde Cofidis. D) A los denunciantes 3, 4, 6, 7 y 9, que aportaran declaraciones suscritas por las personas que hubieran recogido los fax remitidos por Cofidis. Y E) Al denunciante 3 que aportara información sobre la tramitación de las denuncias presentadas. Con fecha 21/10/2010 se recibió la documentación remitida por el denunciante 5, en concreto las declaraciones de su madre y de su hermano. Con fechas 22/10/2010 y 28/10/2010 se ha registrado escrito de Cofidis, en el que manifiesta que no le consta que en ninguna de las reclamaciones objeto del presente procedimiento se haya presentado denuncia ante la Dirección General de la Policía y de la Guardia Civil ni ante órganos judiciales. Se ha recibido con fecha 25/10/2010 la documentación aportada por el denunciante 7, en concreto las declaraciones de tres compañeros de trabajo que recogieron faxes remitidos por Cofidis al centro de trabajo del denunciante 7. Con fecha 26/10/2010 se ha registrado escrito de la denunciante 4, con el que remite las declaraciones de dos compañeros de trabajo que recogieron tres faxes remitidos por Cofidis al centro de trabajo de la denunciante 4. Con fecha 22/11/2010 se ha trascrito la grabación aportada por el denunciante 1. SEXTO: Con fecha 02/12/2010 el Instructor del procedimiento formuló propuesta de resolución en el sentido de que el Director de la Agencia Española de Protección de Datos sancionara a Cofidis con una multa de 60.101,21 euros por la infracción del artículo 10, tipificada como grave en el artículo 44.3.g) de dicha norma. Cofidis ha presentado escrito con fecha 22/12/2010 (registrado el 11/01/2011), en el que solicita el archivo del procedimiento sancionador y, subsidiariamente, que se proceda a calificara la infracción como leve y que se aplique lo dispuesto en el artículo 45.5 de la LOPD, con fundamento, básicamente, en las siguientes alegaciones: Análisis de las denuncias que han dado origen al presente expediente. Falta de validez como prueba de la declaración referente a los hechos denunciados por el denunciante 5, ya que se trata de una supuesta declaración de una persona del entrono de los denunciantes. Ausencia de infracción en lo que se refiere a los faxes y llamadas al lugar de trabajo de los denunciantes. Precedentes de resoluciones de la AEPD. Criterios de proporcionalidad aplicados por la Audiencia Nacional cuando se considera incumplido el deber de secreto. Cofidis ha adjuntado declaración del Director de Recobro de la entidad en que manifiesta que es una empresa especialmente cuidadosa con la aplicación de la normativa de protección de datos, que se realizan permanentemente actividades formativas con el objeto de que los gestores de recobro conozcan esta normativa y que éstos son formados

c. Jorge Juan 6

28001 Madrid

www.agpd.es

en su obligación de deber de secreto. Asimismo se declara que se realizan de forma mensual controles de calidad de los procedimientos, así como escuchas telefónicas de los conversaciones de los empleados HECHOS PROBADOS PRIMERO: Objeto y fichero inscrito: La entidad mercantil Cofidis Hispanis E.F.C., S.A. (Sociedad Unipersonal), con C.I.F. A-79528246, es un Establecimiento Financiero de Crédito sujeto a la supervisión del Banco de España y figura inscrita en el Registro del Banco de España con el número **** (paginas web de Cofidis y del Banco de España). En el Registro General de Protección de Datos figura inscrito el “Fichero de Clientes”, del que es responsable Cofidis Hispanis E.F.C., S.AU., cuya finalidad es “Datos para la evaluación, aprobación y gestión de préstamos y créditos a clientes para la realización de acciones comerciales” (folios 187 – 189). SEGUNDO: Procedimento establecido por Cofidis Hispanis E.F.C., S.A.U. para la gestión de recobros (documentos “Política de recobros” [incluye “Reglas de comunicación”] y “Trama de acciones de recobro”): a)

Como regla general el gestor buscará un contacto personal directo con el cliente en su domicilio o móvil personal.

b)

En el contacto con terceros no se utilizará el nombre de Cofidis. El contacto con terceros (familiares, vecinos, amigos….) debe ser considerado como excepcional en el caso de que el cliente no pudiera ser contactado en su domicilio, móvil o empresa, y sólo debe tener por objetivo dejar un mensaje a la atención de nuestro cliente. No se dejaran mensajes en el buzón de voz de un tercero (familiares, vecinos, amigos….) y no se enviarán comunicaciones escritas al mismo. No se comunicarán informaciones de un cliente a un tercero o a la empresa / banco del cliente.

c)

El número de llamadas efectivas a un mismo cliente deber ser limitadas en el tiempo, por ello, salvo excepción, sólo se contactará con el cliente una vez al día. De igual forma el uso del sms deber ser limitado en el tiempo, y no se enviarán más de tres a la semana al mismo cliente.

d)

Está prohibido registrar en soporte informático calificaciones personales de los titulares del crédito que puedan dar lugar a discriminaciones por razón del cualquier condición o circunstancia personal o social, ni que puedan ser atentatorios a su dignidad, honor y propia imagen. Así como anotaciones que hagan mención a la salud física y psíquica del cliente.

e)

La gestión de recobros de Cofidis se realiza en tres direcciones diferentes, en función de la fase (fases 100. fase 200, fase 300 y fase 304) y las características de los contratos:

1. Acciones correspondientes a las fases 100 (Pre-Recobro), clientes que registran el impago de un recibo, entre otras: 1) No se realizan búsquedas para contactar con el cliente; 2) Se remiten cartas y mensajes sms. 2. Acciones correspondientes a las fases 200 (Recobro Amistoso), clientes que registran el retraso sin gastos superior o igual a 2 veces la mensualidad del contrato, entre otras: 1) Búsquedas de contactos:

9/34

teléfonos directos (domicilio, móvil); teléfonos empresa; teléfonos familiares y teléfonos vecinos; 2) Envío de cartas y mensajes sms, según los modelos que constan; 3) Envío de faxes 3. Acciones correspondientes a la fase 300, clientes que registran el retraso sin gastos superior o igual a 4 veces la mensualidad del contrato y clientes en la subfase 303 (han impagado un recibo durante los 6 meses siguientes a la activación del Plan de Refinanciación), entre otras: 1) Búsquedas de contactos, teléfonos directos (domicilio, móvil), búsqueda por titular, cotitular, empresa, búsqueda de los datos del contrato encontrados (tipo empresa, DNI), búsqueda de familiares (páginas blancas y QDQ), búsqueda de vecinos (páginas blancas y QDQ), teléfonos vecinos. 2) Envío de cartas y mensajes sms. 3) Envío de faxes. 4. Según consta en los modelos de fax que se remiten a los clientes con objeto de que contacte con la entidad en el texto además de solicitar al cliente que contacte urgentemente con la entidad se le informa de que “cuanto antes llame antes podrá solucionar su situación con Cofidis o “que se comunique urgentemente con Cofidis para aclarar su situación“, también se especifica, en uno de los modelos, el número de contrato del cliente. 5. Acciones correspondientes a la fase 304, expedientes que requieren un tratamiento especifico debido a la situación financiera de sus contratos y cuyos clientes han sido marcados con el indicativo de “Gestión especial”, entre otras: 1) No se realizan búsquedas para contactar con el cliente. Se remiten cartas, mensajes sms y fax, según los modelos que figuran. f)

TERCERO:

c. Jorge Juan 6

Una vez finalizadas las fases de gestión de recobros, se inicia la fase denominada “Contencioso”, en la que se sigue realizando una gestión de recobro amistoso y que tiene una duración de seis meses, una vez trascurridos los cuales los expedientes se pasan bien a “fallidos” o se inicia un procedimiento judicial. La gestión de los expedientes en la fase de “Contencioso” (folios 97 – 101, 103 – 147). Fichero de Clientes y Agenda Informática “Bloc de Notas.”

a)

Cofidis Hispania, E.F.C., S.A.U. dispone de una “bloc de notas informático”, donde quedan registrados, entre otros eventos, los contactos telefónicos que se mantienen tanto con el cliente como con otras personas de su entorno, los envíos de mensajes sms y los envíos de avisos por fax, en ellos consta la fecha y en muchas de ellas la hora en que se realizan Constan contactos a números de teléfono, cuyo origen no está identificado o que no figuran entre los teléfonos de contacto del cliente, se identifican como T1,T2,T3, T4, T5…..etc. (teléfonos obtenidos mediante las búsquedas realizadas en los repertorios).

b)

Constan llamadas a teléfonos identificados como TMOVILH, TMOVILF, TPB1, TPB2,TPB3,TPB4…. TTF1, TTF2. TTF3…., sin que se identifique el origen de los mismos, en algunos de los TPB.. a continuación aparece VO (vecino).

c)

Figuran anotaciones referentes a contactos con los centros de trabajo del

28001 Madrid

www.agpd.es

cliente o del cónyuge (aunque en algún caso no conste como cotitular del contrato), en algunos casos se mantienen conversaciones con los jefes o los compañeros de trabajo. d)

Figuran anotaciones de envíos de sms a teléfonos móviles (no siempre se identifica a quien pertenecen) y el envío de avisos por fax a los centros de trabajo del cliente. (folios 101 – 102).

CUARTO: Control de Conversaciones telefónicas con clientes y terceros. No consta que Cofidis Hispanis E.F.C., S.A efectúe grabaciones de las conversaciones mantenidas durante las llamadas telefónicas. Ahora bien, parece ser que se realizan “escuchas, con el fin de averiguar si se sigue adecuadamente la normativa interna” (folio 516). QUINTO:

SEXTO:

En relación con los hechos denunciados por el denunciante 1. a)

Con fecha 18/11/2009 se recibió la denuncia del denunciante 1, en la que manifiesta que recibe múltiples llamadas de Cofidis Hispania, E.F.C., S.A.U. por el impago de una o dos cuotas (folio 1).

b)

El denunciante 1 ha aportado soporte informático con la copia del mensaje de voz grabado en el contestador automático el 16/11/2009, cuya trascripción es la siguiente: “Mensaje número 1. Recibido hoy a las 18.37 minutos. Mensaje para el señor Denunciante 1 y esposa. Llamo desde la financiera Cofidis, señor Denunciante 1 y esposa, tienen que dar la cara ante la financiera Cofidis llamando al 9***TELF6, repito 9***TELF6.No estamos autorizados a hablar con ningún abogado. Tienen que dar la cara ustedes mismos, llamando a este teléfono que les acabo de decir. Si ustedes no colaboran y no dan la cara para subsanar este tema amistosamente. llamaremos a todos sus vecinos y a todos sus familiares. Gracias.” (folios 4 y 554)

c)

En la inspección realizada se constató que el denunciante 1 figura en el fichero de clientes de Cofidis Hispania, E.F.C., S.A.U. como titular de un contrato junto con su esposa, y en el Bloc de Notas figuran las siguientes anotaciones de llamadas y sms efectuados los días 13/11/2009 (2 llamadas; no contesta; salta el mismo contestador), 16/11/2009 (“dejo teléfono de contacto para que abogado llame”); 18/11/2009 (se deja un mensaje en el teléfono del domicilio); 18/11/2009 (Se recibe una llamada de la cotitular desde el teléfono del domicilio, muy molesta por el mensaje en buzón de voz); 20/11/2009 (no contesta); 26/11/2009; 27/11/2009 (“no contesta, dejo mensaje, envío sms); 11/01/2010; 19/01/2010; 27/01/2010; 29/01/2010 (salta locución); 26/02/2010 (3 llamadas, “dejo mensaje en buzón voz”; teléfono móvil); 02/03/2010 (envío de sms); 19/03/2010 (mensaje en buzón de voz en T1); 23/03/2010; 23/03/2010 (envío 2 sms).(folios 190 – 191, 195 – 207).

En relación con los hechos denunciados por la denunciante 2.

11/34

a)

Con fecha 18/09/20069 tuvo entrada en la AEPD escrito de la denunciante 2, en el que manifiesta que el 19/08/2009 recibió una llamada de Cofidis Hispania, E.F.C., S.A.U., con el siguiente mensaje en el contestador (según su trascripción): “Hola buenos días, este es un mensaje para la señora Denunciante 2. Sra. Denunciante 2, soy O.O.O., le llamo del Departamento Prejurídico de la entidad financiera Cofidis, por los impagos que tiene usted en este momento, concretamente cuatro de un crédito y tres del otro, es decir siete meses de impago, Sra. La situación es realmente comprometida, se está poniendo cada vez más difícil y, Sra., lo que tiene que hacer usted es solucionar este tema. Por lo tanto si vemos que usted no nos llama, no se pone en contacto con nosotros y no se interesa en cómo poder solucionar esto, realmente lo que nos da a entender es que no tiene ningún tipo de intención de solucionarlo, por lo tanto no nos haga pensar eso y ponga en contacto con nosotros sin falta en el 9000844208, repito 900844208. Buenas tardes” (folio 9).

b)

En la inspección realizada se constató que la denunciante 2 figura como titular de dos productos contratados con Cofidis Hispania, E.F.C., S.A.U. y que en Bloc de notas figuraban las siguientes anotaciones relativas a las llamadas telefónicas: 19/08/2009 (“en TDOM, teléfono domicilio, no contesta, se deja en contestador, que solucionen); 26/08/2009 (llamada a T3 “que no está que le llame a partir del lunes”); 26/08/2009 (llamada al domicilio) (folios 208, 214).

SÉPTIMO:

En relación con los hechos denunciados por el denunciante 3. a)

El 12/08/2009 tuvo entrada en la AEPD escrito del denunciante 3, en el que manifiesta que Cofidis Hispania, E.F.C., S.A.U. realiza llamadas desde el número 935032474 a personas de su entorno personal, incluso vecinos comunicándoles que se ponga en contacto con ellos urgentemente porque les debe dinero; y que remite faxes a su puesto de trabajo (folio 11).

b)

Con su denuncia ha aportado copia de faxes remitidos a su centro de trabajo con fechas 27/07/2009, 28/07/2009, 04/08/2009 y 16/12/2009, en los que figura su nombre y apellidos y el siguiente texto: “Ante la imposibilidad de contactar con usted telefónicamente, le ruego atienda este fax y se comunique con nosotros urgentemente, para aclarar la situación. A la espera de sus noticias. Atentamente. Cofidis Hispania, E.F.C., S.A.U. (folios 17 – 18, 21, 23).

c)

En la inspección realizada se constató que en los ficheros de Cofidis Hispania, E.F.C., S.A.U. figuran 2 números de teléfono correspondientes a Fijo titular-cotitular, móvil titular, y que figura como titular de un contrato (folios 215)

También se constató que figuran anotaciones de llamadas a otras personas y envío de fax efectuadas los días 14/08/2009 (envío fax a T3); 03/09/2009 (envío fax) 04/09/2009 (sms a teléfono móvil); 08/09/2009 (llamada a TPB1 “no colabora”); 08/09/2009 (envío fax); 14/09/2009 (llamada a teléfono empresa, una compañera dice que le pasará el recado); 17/09/2009 (llamada a TMOVIL); 17/09/2009 (llamada a empresa cónyuge, dicen

c. Jorge Juan 6

28001 Madrid

www.agpd.es

que está por la calle); 17/09/2009 (envío fax a empresa); 129/09/2009 (llamada a teléfono móvil); 03/10/2009 (sms a teléfono móvil); 19/10/2009 (llamada a teléfono empresa); 19/10/2009 (sms a teléfono móvil); 20/10/2009 (llamada a teléfono empresa); 21/10/2009 (llamada a teléfono empresa); 28/10/2009 (llamadas a cuatro vecinos, uno dice que ha colaborado, que se lo dio en mano; otro conoce y colabora); 20/11/2009 (sms a teléfono móvil); 04/12/2009 (mensaje en contestador de teléfono de vecino); 11/12/2009 (llamada a teléfono vecino, no conoce y colabora); 16/12/2009 (llamada a vecino, ya colaboró, dice que pasó el mensaje dos veces); 16/12/2009 (llamada a teléfono móvil y sms); 16/12/2009 (llamada a empresa cónyuge, “compañera dice que no conoce a nadie con ese nombre”); 16/12/2009 (llamada a teléfono empresa, se deja mensaje a compañeros) 17/12/2009 (llamada a teléfono empresa, se deja mensaje a compañeros); 08/01/2010 (llamada a vecino, conoce pero colabora); 15/01/2010 (llamada a vecino, es mayor no colabora); 29/01/2010 (llamada a empresa cónyuge, “atiende señora que no conoce de nada a titular”); 09/02/2010 (envío de faxes a dos números); 09/02/2010 (llamada a teléfono empresa, compañero dice que está de baja); 10/02/2010 (llamada a T “no conoce”); 10/03/2010 (llama hijo de titular, pide información de la deuda, pido autorización del titular, dice que falleció ayer, y quiere copia contrato y acogerse a seguro) (folios 215 – 216, 220 – 238). OCTAVO:

En relación con los hechos denunciados por la denunciante 4. a)

Con fecha 16/11/2009 tuvo entrada en la AEPD un escrito de la denunciante 4, en el que manifiesta que debido al retraso en el pago de sus cuotas, recibe llamadas telefónicas “amenazadoras” en su trabajo, donde también ha recibido un fax de Cofidis Hispania, E.F.C., S.A.U. (folio 27).

b)

Con su denuncia ha aportado copia de un fax remitido a su centro de trabajo con fecha 06/10/2009, en el que figura su nombre y apellidos y el siguiente texto: “Ante la imposibilidad de contactar con usted telefónicamente, le ruego atienda este fax y se comunique con nosotros urgentemente, para aclarar la situación. A la espera de sus noticias. Atentamente. Cofidis Hispania, E.F.C., S.A.U.” (folio 30).

c)

En la inspección realizada se constató que en los ficheros de Cofidis Hispania, E.F.C., S.A.U. figura un número de teléfono fijo y que figura como titular de un contrato. También se constató que no figuran anotaciones en Bloc de notas correspondientes a las llamadas efectuadas o recibidas, porque la deuda ha sido pagada (folio 242).

d)

La denunciante 4 ha aportado ha aportado las declaraciones de dos compañeros de trabajo que recogieron tres faxes remitidos por Cofidis Hispania, E.F.C., S.A.U. a su centro de trabajo los días 06/10/2009, 19/02/2010 y 24/11/2010. En el segundo figura el número de contrato 4 (folios 534 – 543).

NOVENO:

En relación con los hechos denunciados por el denunciante 5. a)

Con fecha 21/12/2009 tuvo entrada en la AEPD la denuncia del denunciante 5, en la que manifiesta que Cofidis Hispania, E.F.C., S.A.U., se dedica a contactar telefónicamente con sus vecinos y familiares, preguntando por él, y comunicando quienes son y por qué le buscan (folio 33).

13/34

b)

En la inspección realizada se constató que en los ficheros de Cofidis Hispania, E.F.C., S.A.U. el denunciante 5 figura como titular de varios contratos y figuran un teléfono fijo y una dirección de correo electrónico

También se constató que en Bloc de notas figuran las siguientes anotaciones: 08/09/2009 (llamada a teléfono móvil, no contesta, dejo mensaje); 08/09/2009 (llamada a teléfono domicilio, prima de titular dice que no llega hasta la tarde); 18/09/2009 (dos llamadas a otros, no deja mensaje); 18/09/2009 (llamada a empresa, compañero dice que no trabaja allí); 02/11/2009 (llamada a teléfono empresa, se habla con responsable de zona y se le deja un teléfono de contacto); 02/11/2009 (Anotación: “Consumidor. Reclamación por llamadas ofensivas de recobros, viene titular a oficinas. No llamarle de momento, en la línea ponía machacar al cliente, pues bien, de momento no machacar); 02/11/2009 (anotación: Viene titular a recepción, solicita hoja reclamación); 04/11/2009 (Anotación: “ojo recobro tranquilo, no llamar a terceros”); 09/11/2009 (llamada a teléfono móvil, no contesta, envío sms); 17/11/2009 (llamada a teléfono domicilio, dejo buzón de voz, número madre invidente); 30/11/2009 (otro teléfono, no contesta envío mensaje); 23/12/2009 (anotación: “Se puede recobrar, solo llamar y hablar con titular, jamás llamar a terceros, recobro tranquilo, envío carta disculpas”) (folios 247, 252 – 270). c)

DÉCIMO:

El denunciante 5 ha aportado declaración de su hermano en la que manifiesta que recibe llamadas telefónicas de Cofidis Hispania, E.F.C., S.A.U en su domicilio: “Unas veces simplemente preguntando y otras diciéndome que debía dinero, dándome datos que son de mi hermano, como el dinero que debe, etc. “ (folio 507). En relación con los hechos denunciados por el denunciante 6.

a)

Con fecha 04/02/2010 tuvo entrada en la AEPD un escrito del denunciante 6 en el que manifiesta que Cofidis Hispania, E.F.C., S.A.U. ha remitido a su trabajo un fax con sus datos personales y número de contrato (folio 38).

b)

Con su denuncia ha aportado copia de un fax remitido a su centro de trabajo con fecha 27/01/2010, en el que figura su nombre y apellidos y el siguiente texto: “Hemos intentado comunicarnos insistentemente con usted por teléfono, pero nos ha sido del todo imposible. Por ello, le solicitamos que atienda este fax y se ponga en contacto con nosotros urgentemente. Le rogamos que nos llame al 902545450. Le atenderemos de lunes a viernes de 9.00 a 20.00 h. Sólo tiene que indicarnos su número de DNI o este número de contrato 6. Recuerde que cuanto antes llame, antes podremos solucionar su situación con Cofidis. Estamos a la espera de su llamada” (folio 40).

c)

En la inspección realizada se constató que en los ficheros de Cofidis Hispania, E.F.C., S.A.U. el denunciante 6 figura como titular de dos contratos y figuran un teléfono fijo y un teléfono móvil.

También se constató que en Bloc de notas figuran las siguientes anotaciones: 07/12/2009 (llamada a empresa, es centralita deja esperando); 27/01/2010 (envío de fax); 27/01/2010 (llamada al domicilio); 27/01/2010 (llamada a teléfono móvil, no contesta, sms, dejo mensaje buzón voz); 05/02/2010 (llega escrito del titular, molesto con llamadas a terceros, informa que ha puesto denuncia a la AEPD. Actualizo y reubico teléfonos para que no se llame a terceros y mucho menos a empresas); 05/02/2010 (Anotación: Se puede

c. Jorge Juan 6

28001 Madrid

www.agpd.es

recobrar, no contactar con terceros, recobro tranquilo, titular tiene voluntad de pagar); 25/03/2010 (llega escrito del titular, molesto por llamada a terceros y faxes enviados a empresa, envía denuncia a la AEPD, se puede recobrar, no llamar a terceros, y recobro tranquilo) (folios 276 – 277, 281 – 290). UNDÉCIMO: En relación con los hechos denunciados por el denunciante 7. a)

Con fecha 02/03/2010 se recibieron en la AEPD tres escritos del denunciante 7, en los que manifiesta que Cofidis Hispania, E.F.C., S.A.U. ha remitido a su centro de trabajo varios faxes (folios 43 – 44,47 – 49, 52 – 54).

b)

Con sus escritos ha remitido copia de tres faxes. En el primero, de fecha 20/01/2010, figura su nombre y apellidos y el siguiente texto: “Hemos intentado comunicarnos insistentemente con usted por teléfono, pero nos ha sido del todo imposible. Por ello, le solicitamos que atienda este fax y se ponga en contacto con nosotros urgentemente. Le rogamos que nos llame al 902545450. Le atenderemos de lunes a viernes de 9.00 a 20.00 h. Sólo tiene que indicarnos su número de DNI o este número de contrato 7.1. Recuerde que cuanto antes llame, antes podremos solucionar su situación con Cofidis. Estamos a la espera de su llamada”. En los de fechas 19/02/2010 y 24/02/2010 se indica el número de contrato 7.2 (folios 46, 50 y 55).

c)

En la inspección realizada se constató que en los ficheros de Cofidis Hispania, E.F.C., S.A.U. el denunciante 7 figura como titular de varios contratos y constan registrados un teléfono fijo, un teléfono móvil y una dirección de correo electrónico.

También se constató que en Bloc de notas figuran las siguientes anotaciones: 20/01/2010 (llamada a teléfono vecino, es una tienda no conoce); 20/01/2010 (llamada a teléfono empresa, pido número fax); 20/01/2010 (envío comunicación a T5); 20/01/20010 (llamada a vecino, no contesta); 21/01/2010 (llamada a teléfono empresa, “me dice que no pasa llamada”); 21/01/2010 (llamada a teléfono vecino, no contesta; 22/01/2010 (llama titular “pide fax para enviar denuncia por LPD,); 22/01/2010 (“llama titular, indica ha tramitado una denuncia contra Cofidis por incumplimiento de la LPD, indica mandamos info privada de su cuenta a un organismo público, trabajo del marido); 25/01/2010 (llamada a teléfono móvil, no contesta, envío sms); 25/01/2010 (llamada a empresa cónyuge, número equivocado); 25/01/2010 (llamada a teléfono empresa, “no atiende llamadas personales, que llame a casa”); 10/02/2010 (llamada a teléfono móvil, no contesta, envío sms); 13/02/2010 (llamada a teléfono empresa, atiende compañero, dice que no está); 13/02/2010 (llamada a teléfono móvil, no contesta, envío sms); 19/02/2010 (cinco llamadas a números distintos, “señora dice que no los conoce de nada, sondeo datos, negativo”, “salta fax”; “envío comunicación”, “no contesta”); 19/02/2010 (llamada a vecino, no contesta); 19/02/2010 (llamada a teléfono de empresa, “no atiende llamadas personales, que llame a casa, digo que insistiré”); 24/02/2010 (llamada a empresa, “cortan llamada cuando pregunto por titular”); 24/02/2010 (envío comunicación); 26/02/2010 (llamada a vecino, colabora); 30/03/2010 (anotación: “se puede recobrar, no llamar a terceros, sobre todo no llamar ni contactar con empresa”). (folios 298 – 299, 303 – 316). d)

El denunciante 7 ha aportado las declaraciones de tres compañeros de trabajo que recogieron faxes remitidos por Cofidis Hispania, E.F.C., S.A.U.

15/34

a su centro de trabajo los días 20/01/2010, 19/02/2010, 24/02/2010 (folios 522 – 533). DUODÉCIMO:En relación con los hechos denunciados por la denunciante 8. a)

Con fecha 12/04/2010 se recibió en la AEPD el escrito de denuncia presentado por la denunciante 8, en el que se manifiesta que solicitó la cancelación de un número de teléfono fijo que figuraba en los ficheros de Cofidis Hispania, E.F.C., S.A.U., a pesar de lo cual ha seguido recibiendo llamadas de esta entidad (folios 58 – 67).

b)

De acuerdo con la información aportada por Cofidis Hispania, E.F.C., S.A.U., en Bloc de notas figuran las siguientes anotaciones relativas a la denunciante 8:); 23/10/2009 (llamada a teléfono empresa, no contesta no buzón de voz); 26/10/2009 (llamada a vecino, salta contestador, no se deja mensaje); 26/10/2009 (llamada a teléfono empresa, no contesta no opción buzón de voz); 30/12/2009 (llamada a vecino, “att y no hablan…”); 30/03/2010 (llamada a vecino, no contacto); 30/03/52010 (llamada a teléfono empresa, no contacto); 21/04/2010 (llamada a vecino, no contesta (folios 329 – 351).

DECIMOTERCERO: En relación con los hechos denunciados por la denunciante 9. a)

Con fecha 29/03/2010 se recibió en la AEPD la denuncia remitida por la denunciante 9, en la que exponen que Cofidis Hispania, E.F.C., S.A.U. ha remitido a su centro de trabajo un fax (folio 74).

b)

Con su escrito ha remitido copia del fax de fecha 25/02/2010 en el que figura su nombre y apellidos y el siguiente texto: “Hemos intentado comunicarnos insistentemente con usted por teléfono, pero nos ha sido del todo imposible. Por ello, le solicitamos que atienda este fax y se ponga en contacto con nosotros urgentemente. Le rogamos que nos llame al 902545450. Le atenderemos de lunes a viernes de 9.00 a 20.00 h. Sólo tiene que indicarnos su número de DNI o este número de contrato 9. Recuerde que cuanto antes llame, antes podremos solucionar su situación con Cofidis. Estamos a la espera de su llamada” (folio 75).

DECIMOCUARTO: Cofidis Hispania, E.F.C., S.A.U. ha remitido a la Agencia Española de Protección de Datos copia de un mensaje de correo electrónico dirigido con fecha 10/06/2010 al Responsable del Servicio al Consumidor y a la Directora Financiera de la entidad, con el siguiente texto: “Se ve claramente en los BN (Bloc de Notas) la reiteración en el envío de mensajes / cartas… de recobro. Es un poco exagerado… Deberíamos solucionar lo del envío de fax al lugar de trabajo. Es un problema…” (folio 352). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II c. Jorge Juan 6

28001 Madrid

www.agpd.es

El presente procedimiento también tiene por objeto determinar las responsabilidades que se derivan de la revelación de los datos personales de clientes de Cofidis a terceros por parte de esta entidad financiera. El artículo 10 de la LOPD, Deber de secreto, establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Dado el contenido del precepto, ha de entenderse que el mismo tiene como finalidad evitar que por parte de quienes están en contacto con los datos personales almacenados en ficheros se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido, teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30/11, y, por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. En este sentido, la Sentencia de la Audiencia Nacional de fecha 18/01/02, recoge en su Fundamento de Derecho Segundo, segundo y tercer párrafo: “El deber de secreto profesional que incumbe a los responsables de ficheros automatizados, recogido en el artículo 10 de la Ley Orgánica 15/1999, comporta que el responsable –en este caso, la entidad bancaria recurrente- de los datos almacenados –en este caso, los asociados a la denunciante- no puede revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero automatizado o, en su caso, con el responsable del mismo” (artículo 10 citado). Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como el teléfono de contacto, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente el secreto. “Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la CE. En efecto, este precepto contiene un “instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos” (STC 292/2000). Este derecho fundamental a la protección de los datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino” (STC 292/2000) que impida que se produzcan situaciones atentatorias con la dignidad de la persona, “es decir, el poder de resguardar su vida privada de una publicidad no querida” (el subrayado es de la Agencia Española de Protección de

17/34

Datos). El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento. El deber de secreto profesional que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el “deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y por lo que ahora interesa, comporta que los datos tratados automatizadamente o no, no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. En el caso que nos ocupa, varios denunciantes han manifestado en sus escritos de denuncia que Cofidis, con el objeto de cobrar cuotas impagadas, efectúa numerosas llamadas telefónicas a los propios clientes y a terceros, ya sean familiares, vecinos, compañeros de trabajo, en las que además de solicitar información de contacto con los clientes, comunica a terceros información sobre las respectivas situaciones de mora en el pago de cuotas periódicas de préstamos contratados con Cofidis. También afirman algunos de los denunciantes que esta entidad remite faxes a sus centros de trabajo en los que figura información privada (en las copias aportadas figuran datos personales, nombre y apellidos, y en algunos casos los números de contratos, e incluyen un aviso para que contacten urgentemente con determinados números de teléfono. Los hechos denunciados son, en resumen, subsumibles en dos clases. La primera, la reiteración de Cofidis en efectuar llamadas telefónicas y envío de sms con el objeto de gestionar el recobro de cuotas impagadas por los clientes. Y la segunda, la revelación de datos personales de los clientes a terceros, tanto en las llamadas telefónicas como en la remisión de faxes a los centros de trabajo. La reiteración de llamadas y de envío de sms está acreditada, al menos, en los siguientes hechos: 1) Las propias anotaciones en Bloc de notas de los gestores de recobro de Cofidis, especialmente las correspondientes a los denunciantes 1,3, 5 y 7. 2) En el contenido del mensaje de voz cuya grabación ha sido aportada por el denunciante 1 :”si ustedes no colaboran y no dan la cara para subsanar este tema amistosamente, llamaremos a todos sus vecinos y a todos sus familiares”. 3) Del literal de algunas de las anotaciones recogidas en Bloc de notas, por ejemplo las correspondientes al denunciante 3 (el 28/10/2009 se llama a cuatro vecinos; el 16/12/2009, llamada a vecino, “ya colaboró”; el 09/02/2010 se envían dos faxes a números distintos), o al denunciante 5 (18/09/2009, se llama a la empresa, se efectúan dos llamadas a terceros; 02/11/2009 “viene titular a oficinas, no llamarle de momento, en la línea ponía machacar al cliente, pues bien, de momento no machacar”; 04/11/2009 “ojo recobro tranquilo, no llamar a terceros”, o al denunciante 7 (19/02/2010 llamada a teléfono de empresa, “no atiende llamadas personales, que llame a casa, digo que insistiré”). 4) Es también significativo el reconocimiento explícito de Cofidis en un mensaje de correo electrónico, que se ha recogido en el hecho probado décimo tercero, en el sentido

c. Jorge Juan 6

28001 Madrid

www.agpd.es

de que “es un poco exagerado” la reiteración en el envío de mensajes y de cartas, como se recoge en Bloc de notas, o que “deberíamos solucionar lo del envío de fax al lugar de trabajo, es un problema”. Sin embargo, lo que se imputa a Cofidis en el acuerdo de inicio del presente procedimiento es la vulneración del artículo 10 de la LOPD, consistente en la revelación de datos personales de sus clientes a terceros, tanto en las llamadas telefónicas como en los faxes enviados a los centros de trabajo. En la documentación que ha aportado Cofidis se recoge que no se permite, en los contactos con terceros, facilitar datos del crédito de los clientes, y así ha sido alegado por esta entidad. Ahora bien, el hecho de que en los procedimientos establecidos por Cofidis se indique expresamente que no se puede facilitar información de la deuda a personas distintas de los clientes, no implica que, excepcionalmente, en alguno de los casos denunciados se haya realizado esa comunicación. Tampoco es significativo que en la agenda electrónica utilizada no se recojan anotaciones en el sentido de que se comunican datos de deuda, puesto que esta comunicación no está prevista en los procedimientos. La cuestión fundamental es probar que en algunos de los casos denunciados se ha producido efectivamente una vulneración del deber de secreto por parte de Cofidis. Por una parte, está acreditado suficientemente que Cofidis ha efectuado numerosas llamadas a teléfonos de personas distintas de sus clientes, tanto de familiares como de” otros”, sin mayor precisión, al igual que ha realizado llamadas a los teléfonos correspondientes a los centros de trabajo de los mismos, y, en algunos casos, ha remitido faxes a estas empresas, con un texto de aviso para contactar urgentemente con Cofidis. También nos encontramos en el caso de la denunciante 4, que en Bloc de notas ya no figuran en Bloc de notas datos de las llamadas efectuadas o recibidas. El denunciante 5 ha aportado declaración de su hermano, en la que éste manifiesta que ha recibido llamadas de Cofidis en su domicilio en las que le comunicaron que su hermano tenía una deuda con dicha entidad. En este caso, por tanto, se puede concluir que de la declaración aportada por este denunciante se puede considerar probado que Cofidis vulneró el deber de secreto al comunicar en una conversación telefónica que este cliente tenía deuda con la entidad financiera. En lo que se refiere a los fax enviados a los centros de trabajos, si bien es cierto que el mensaje es únicamente un aviso para que el afectado se ponga en contacto urgentemente con Cofidis (aunque en varios de los faxes aportados figuran los respectivos números de contratos suscritos con esta entidad), hay que ponerlo en con el propio contenido de los escritos remitidos por fax, en los que se conmina a contactar con Cofidis para “solucionar su situación” y en relación con las múltiples llamadas efectuadas a los centros de trabajo, para contactar con los clientes, por lo que cualquiera compañero de los denunciantes que reciba el fax (que es un medio no seguro ni confidencial) y lo asocie con las repetidas llamadas, va a concluir la situación del compañero con el banco. Por tanto, queda acreditado que dicha entidad, responsable de la custodia de los datos en cuestión, ha vulnerado el deber de secreto garantizado en el artículo 10 de la

19/34

LOPD. III El legislador ha tipificado la infracción del artículo 10 de la LOPD como falta leve o grave en los artículos 44.2.e) y 44.3.g) de la misma ley, que disponen lo siguiente: “44.2.e) Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.” “44.3.g) La vulneración del deber de guardar secreto sobre los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo.” En el presente caso, conviene señalar que los datos que se proporcionaron corresponden a datos incorporados a ficheros de prestación de servicios financieros, por lo que la vulneración del artículo 10 de la LOPD ha de ser tipificada como infracción grave a tenor del artículo 44.3. g) de la citada Ley Orgánica. IV Cofidis ha alegado como precedentes distintas resoluciones de la AEPD, tanto de archivo de actuaciones y de finalización de procedimientos sancionadores: Resolución de archivo de actuaciones E/00472/2006, de 03/12/2007. Se había denunciado que el 16/12/2005 una vecina acudió al domicilio del denunciante porque había recibido una llamada de Cofidis preguntando por él, ya que no había otro medio para localizarle. Asimismo el denunciante afirmaba que se habría facilitado a un tercero posiblemente también información relativa a las causa que requerían su localización. El fundamento para proceder al archivo de las actuaciones, en cuanto a la presunta infracción del artículo 10 de la LOPD, fue que no se acreditó la llamada de Cofidis a la vecina del denunciante y que no constaban anotaciones en el Sistema de Gestión de Clientes utilizado por la entidad financiera. La resolución del PS/0009/2007, de 09/07/2007, exoneraba de responsabilidad a Cofidis por los hechos denunciados (envió de faxes al centro de trabajo del denunciante y envío de un escrito de reclamación de pago utilizando un sobre con ventanilla). El escrito remitido por fax al centro de trabajo indicaba que “le ruego atienda este fax y se comunique con nosotros urgentemente”, y se consideró procedente archivar el procedimiento por cuanto “indicar en el escrito el nombre y apellidos del denunciante sin asociar dichos datos a ninguna otra información personal no supone ninguna revelación de datos y ello porque el nombre y apellidos del denunciante ya eran conocidos en su centro de trabajo sin que suponga vulneración del deber de guardar secreto”. Respecto al envío postal, se consideró que había dudas razonables respecto a si el sobre utilizado para la remisión del requerimiento de pago permitía el acceso al contenido del escrito. Resolución del E/01254/2006, de 07/06/2007, que archiva las actuaciones con base en que no había ningún indicio suficientemente acreditado del que pudiera desprenderse que la sociedad imputada hubiera revelado al denunciante datos relativos a la deuda del cliente de la entidad financiera, ya que dicho hecho no se desprende del contenido del mensaje de voz aportado por el denunciante, en el que únicamente se indica que existe un expediente a su nombre, sin hacer ninguna referencia a la condición de deudor. c. Jorge Juan 6

28001 Madrid

www.agpd.es

Resolución del E/00831/2007, de 04/11/2008, que acordó el archivo de las actuaciones con fundamento en que no había quedado acreditado en el expediente la autoría de los hechos denunciados, sin que hubiera prueba concluyente que permitiera imputar la difusión de la información que el denunciante manifestaba haber recibido (deudas de su hermana). Es más, se comprobó que no constaba que ésta hubiera mantenido deuda alguna con la entidad financiera. Resolución de archivo de actuaciones E/00883/2007, de 24/01/2008, por la que se archivaron las actuaciones previas iniciadas a partir de haberse denunciado la comunicación a un tercero información sobre un impago de la esposa del denunciante. El motivo del archivo es la constatación que la entidad financiera se uso en contacto con un vecino del denunciante indicando su interés en localizarle poniendo como excusa la pérdida de unas llaves y una cartera, por lo que la información comunicada no se refería a datos financieros. Resolución del PS/00478/2007, de 25/04/2008, por la que se impone una sanción de 3.000 euros a una entidad que actuaba en nombre de una empresa de producción y distribución de energía, por el envío de un requerimiento de pago a la dirección postal del hermano del denunciante. Esta infracción se calificó como leve por cuanto los datos comunicados no eran suficientes para obtener una evaluación de la personalidad del individuo. No se impuso la sanción mínima por cuanto la conducta cometida “denota una falta de diligencia debida, en especial por tratarse de una entidad especializadas en este tipo de tratamiento, por lo que procede graduar la sanción en su cuantía media”. Resolución del PS/00654/2008, de 16/03/2009, que impuso a una empresa de telecomunicaciones una sanción de 6.000 euros, por una vulneración del deber de secreto calificada como leve. En este caso la empresa sancionada remitió al denunciante un mensaje de correo electrónico que no tenía que ver con la incidencia que éste había comunicado y al que se adjuntaba una factura con datos personales de otro cliente. Se consideró acreditado que la empresa sancionada no había actuado con la diligencia debida que le era exigible, ya que ninguna de las cautelas que había manifestado que había implantado impidió que los datos de una tercera persona fueran comunicados al denunciante. Resolución del PS/00002/2009, de 17/06/2009, por la que se impuso una sanción de 2.000 euros por la vulneración del deber de secreto, infracción calificada como leve. En este caso, se consideró probado que la entidad sancionada, gestora de cobros, remitió al denunciante información sobre su deuda con una empresa de telefonía junto con copia de seis comunicaciones dirigidas a seis destinatarios distintos, que incluía datos de deudas con una empresa de telefonía. Para la imposición de la sanción de 2.000 euros se tuvo en consideración, entre otros motivos, la comunicación de datos de seis afectados. La resolución del PS/000541/2008, de 15/04/2009, acordó imponer a una empresa de hostelería una sanción de 601,01 euros por la comisión de una infracción leve al haber comunicado a terceros los datos del denunciante contenidos en una factura pendiente de pago. La resolución del PS/00612/2009, de 13/04/2010, impuso a un letrado una sanción de 601,01 euros por la comisión de un infracción calificada como leve, en concreto la remisión a un cliente de un mensaje de correo electrónico (con copia a terceros) con la liquidación de honorarios por la asistencia letrada, cantidad que supuestamente no había sido abonada por el denunciante.

21/34

La resolución del PS/00575/2009, de 22/04/2010, impuso a una entidad financiera una sanción de 3.000 euros por la comisión de una infracción calificada como grave (por cuanto la vulneración del deber de secreto estuvo relacionada con servicios financieros), por la remisión a un fax de un organismo público de un escrito comunicando el traspaso definidito al departamento prejudicial del expediente de la denunciante, al aproximarse el plazo de 90 días de mora. En este caso se consideró aplicable lo dispuesto en el artículo 45.5 de la LOPD por la concurrencia de las siguientes circunstancias: 1) la entidad sancionada dispone de un protocolo de actuación, que exige precauciones en la utilización de las comunicaciones por fax, si bien excepcionalmente ha fallado en el presente caso; 2) la falta de diligencia en la conducta de la denunciante, dada la situación de impago en la que se encontraba; y 3) el que no se trate de una actuación reincidente. Finalmente, la resolución del PS/00188/2008, de 02/07/2008, por la que se impuso a una entidad de gestión de cobro una sanción de 12.000 euros, por la comisión de una infracción calificada como grave. En este caso, se habían remitido a los centros de trabajo de los denunciantes varios faxes, con el texto “ruego se ponga en contacto con nosotros para negociación de la deuda, de la cual ya le informaremos telefónicamente”. Para la aplicación en este caso de lo dispuesto en el artículo 45.5 de la LOPD se tuvieron en cuenta el reconocimiento voluntario de responsabilidad efectuado por la entidad sancionada así como la contratación de una consultora con el objeto de que no se vuelvan a producir hechos similares. Ahora bien, examinados los precedentes alegados se estima que no pueden ser aplicados como pretende Cofidis, por los siguientes motivos: 1)

El archivo se fundamenta en la falta de acreditación de los hechos o de la autoría de los mismos : E/00472/2006, PS/00009/2007 (en lo que se refiere a la utilización de sobre ventanilla), E/01254/2006, y E/00831/2007.

2)

La comunicación de datos, ya fuera por teléfono o por fax, no supone una vulneración del deber de secreto por cuanto no se revelaron más datos personales que el nombre y apellidos, ya conocidos por los receptores de las comunicaciones: E/00883/2007 y PS/00009/2007 (envío de fax).

3)

Las vulneraciones del deber de secreto se califican como leves porque no se refieren a datos de ficheros de solvencia patrimonial, de servicios financieros o no permiten realizar una evaluación de la personalidad (artículo 44.3.g) de la LOPD): PS/00478/2007, PS/00654/2008, PS/00002/2009, PS/000541/2008, PS/00612/2009.

4)

En las resoluciones de los PS/00575/2009 y PS/00188/2008 se aplicó el artículo 45.5 de la LOPD para apreciar una cualificada disminución de la culpabilidad del imputado o de la antijuricidad del hecho, pero que no se pueden apreciar en el presente caso, puesto que Cofidis ha vulnerado el deber de secreto, como se ha expuesto, y no consta la contratación de una consultora con el objeto de que no se vuelvan a producir hechos similares.

Por todo ello, no se pueden aplicar los precedentes alegados por Cofidis para la calificación de la infracción como leve o para la aplicación del artículo 45.5 de la LOPD.

c. Jorge Juan 6

28001 Madrid

www.agpd.es

Además, en varios de los procedimientos alegados (PS/00478/2007, PS/00654/2008 y PS/00002/2009) no se impusieron las sanciones mínimas por razones que son aplicables al presente caso: falta de diligencia, por tratarse de un entidad especializada en este tipo de tratamiento y ninguna de las cautelas que la empresa sancionada ha manifestado que había implantado impidió que se produjera la conducta sancionada. V El artículo 45.2, 4 y 5 de la LOPD, dispone: “2. Las infracciones graves serán sancionadas con multa de 60.101,21 € a 300.506,05 €.” “4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. “5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que proceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”. La Audiencia Nacional en su Sentencia de 24/05/2002 ha señalado en cuanto a la aplicación del citado precepto que la presente regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos. Circunstancias que no apreciamos concurran en el caso de autos en el que la entidad bancaria debió adoptar una diligencia mayor y optar por una interpretación en defensa de los intereses del titular del dato, pues no se olvida que este es titular de un derecho fundamental a la libertad informática –STS 202/1999- y las entidades que operan en el mercado de datos y obtienen con ello determinadas ventajas deben siempre obrar con exquisita diligencia y procurar siempre la perfecta comunicación entre el dato y la realidad. En relación a los criterios de graduación de las sanciones recogidas en el artículo 45.4 de la LOPD, y, en especial a la ausencia de intencionalidad acreditada en el presente procedimiento, procede la imposición de la sanción de 60.101,21 euros. VI A los efectos de evitar la identificación de los denunciantes entre sí se ha procedido a anonimizar la presente resolución y desvelar la misma en diez anexos. Se notificará a cada uno el contenido del anexos que le afecte y a la entidad denunciada el Anexo 1, que incluye la referencia a todos ellos.

Vistos los preceptos citados y demás de general aplicación,

23/34

El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad Cofidis Hispania Establecimiento Financiero de Crédito, S.A.U., por una infracción del artículo 10 de la LOPD. tipificada como grave en el artículo 44.3.g) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos de euro), de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR a Cofidis Hispania Establecimiento Financiero de Crédito, S.A.U. la presente resolución y el anexo 1, y notificar a cada uno de los denunciantes la resolución y exclusivamente el anexo que le corresponda, en el que se incluye su identificación. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado el Real Decreto 939/2/005, de 29 de julio, en relación con el artículo 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº 0182 2370 43 0200000785 abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, de 21 diciembre. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 18 de enero de 2011 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

c. Jorge Juan 6

28001 Madrid

www.agpd.es

Fdo.: Artemi Rallo Lombarte

25/34

ANEXO 1. Denunciante 1: Denunciante 2: Denunciante 3: Denunciante 4: contrato 4: Denunciante 5: Denunciante 6: Contrato 6: Denunciante 7: Contrato 7.1: Contrato 7.2: Denunciante 8: Denunciante 9: Contrato 9:

c. Jorge Juan 6

D. B.B.B.. Dña. H.H.H.. D. G.G.G.. Dña. M A.A.A.. L.L.L. D. N.N.N. P.P.P.. D. E.E.E.. J.J.J. D. D.D.D.. K.K.K.. M.M.M. Dña. C.C.C.. Dña. F.F.F.. I.I.I.

28001 Madrid

www.agpd.es

ANEXO 2. Denunciante 1:

D. B.B.B..

27/34

ANEXO 3. Denunciante 2:

c. Jorge Juan 6

Dña. H.H.H..

28001 Madrid

www.agpd.es

ANEXO 4. Denunciante 3:

D. G.G.G..

29/34

ANEXO 5. Denunciante 4: contrato 4:

c. Jorge Juan 6

Dña. M A.A.A.. L.L.L.

28001 Madrid

www.agpd.es

ANEXO 6. Denunciante 5:

D. N.N.N. P.P.P..

31/34

ANEXO 7. Denunciante 6: Contrato 6:

c. Jorge Juan 6

D. E.E.E.. J.J.J.

28001 Madrid

www.agpd.es

ANEXO 8. Denunciante 7: Contrato 7.1: Contrato 7.2:

D. D.D.D.. K.K.K.. M.M.M.

33/34

ANEXO 9. Denunciante 8:

c. Jorge Juan 6

Dña. C.C.C..

28001 Madrid

www.agpd.es

ANEXO 10. Denunciante 9: Contrato 9:

Dña. F.F.F. I.I.I.