Hoy ha hecho pública el Tribunal
de Justicia su sentencia en el
asunto, C‑119/12, Probst, que aborda
aspectos relativos a la protección de datos personales de los deudores de créditos
que son objeto de cesión, en concreto, en relación con un contrato de
factoring. En la medida en que la cesión de créditos implica la puesta en
conocimiento del cesionario por parte del cedente del crédito de datos
personales del deudor (típicamente, cuando éste sea una persona física) y el
posterior tratamiento de tales datos por parte del cesionario, merecen especial
atención en el marco de ese tipo de acuerdos los aspectos relativos a la
protección de datos personales. El asunto principal que da lugar a la sentencia
Probst va referido en particular a la
interpretación de ciertas normas de la Directiva 2002/58 sobre la privacidad y
las comunicaciones electrónicas, especialmente su artículo 6 relativo al
tratamiento de datos de tráfico, pero cabe entender que aspectos importantes de
su doctrina resultan relevantes para el conjunto de los contratos de factoring
y operaciones de cesión de créditos que impliquen la comunicación de datos
personales de los deudores.
En concreto,
de la sentencia resulta que el tratamiento de datos del deudor por parte del
cesionario de los créditos sin el consentimiento previo del deudor resulta
legítimo cuando la relación entre el cedente y el cesionario de
los créditos se configura como una relación entre responsable y encargado del
tratamiento de datos personales, que cumpla los requisitos para no ser
considerada una comunicación de datos. El cumplimiento de tales requisitos
implica típicamente que la relación entre cedente (responsable del tratamiento
de los datos) y cesionario (que accede a los datos y los trata como mero encargado
del tratamiento) incorpore las cláusulas contractuales necesarias con las
garantías precisas, incluyendo que el encargado únicamente tratará los datos
conforme a las instrucciones del responsable del tratamiento, que no los
aplicará o utilizará con un fin distinto al que figure en dicho contrato… Tales
exigencias aparecen recogidas en la legislación española básicamente en el
artículo 12 LOPD y en los artículos 20 y ss de su Reglamento de desarrollo
aprobado mediante Real Decreto 1720/2007. En relación con la posición del
cesionario de los créditos, resulta además de particular relevancia que
conforme al artículo 12.4 LOPD, en el caso de que el encargado del tratamiento
destine los datos a otra finalidad, los comunique o los utilice incumpliendo
las estipulaciones del contrato, será considerado también responsable del
tratamiento y responderá personalmente de las infracciones en que incurra
Con respecto
al contrato de factoring objeto del litigio principal, el Tribunal en el
apartado 28 de la sentencia afirma: “la
circunstancia de que un contrato de «factoring» responda a lo descrito en la
cuestión planteada inclina a pensar que tal contrato cumple los referidos
requisitos. Efectivamente, un contrato de tales características sólo autoriza
el tratamiento de datos de tráfico por el cesionario de los créditos en la
medida en que ese tratamiento resulte necesario a efectos del cobro de los
mismos, y somete al cesionario a la obligación de eliminar o devolver de manera
inmediata e irreversible dichos datos tan pronto como su contenido deje de ser
necesario para el cobro de los créditos de que se trate. Por otra parte, tal
contrato autoriza al proveedor de servicios a comprobar que el cesionario se
ajusta a la normativa de protección de datos y vela por la seguridad de los
mismos, y obliga al cesionario a proceder a la eliminación o devolución de los
datos de tráfico ante el mero requerimiento en ese sentido”.
Desde
la perspectiva internacional, es importante reseñar que la aplicación de este
régimen y estas exigencias en materia de protección de datos resulta imperativa
a los acuerdos de cesión de créditos dentro del ámbito de aplicación espacial
de la legislación sobre datos personales. Por lo tanto, la inclusión de las
cláusulas relevantes en los acuerdos entre cedente y cesionario resulta
necesaria con independencia tanto de cuál sea la ley aplicable al contrato
entre cedente y cesionario (por ejemplo, el contrato de factoring) como de cual
sea la ley aplicable al crédito objeto de cesión, en la medida en que la
legislación española (europea) resulte aplicable al tratamiento de los datos
objeto de cesión. El ámbito espacial de aplicación imperativa de las normas de
protección de datos personales –que también será determinante de la aplicación
de las restricciones a las transferencias internacionales de datos- aparece fijado
en el artículo 2.1 LOPD y el artículo 3 de su Reglamento de desarrollo que
tienen su origen en el artículo 4 de la Directiva 95/46, si bien actualmente este último se encuentra en proceso de revisión en el marco de la elaboración en el seno de la UE de un
Reglamento en la materia, a lo que ya me he referido en alguna entrada previa.
