Nota comparada · Compliance
ComplianceCómo fiscaliza la AEPD a la industria de información — y qué anticipa para la APDP
Precedente español aplicado a brokers, agregadores, antifraude y usuarios de datos. El foco: qué se sanciona, cómo blindarlo y para qué tipo de empresa el blindaje es prioritario bajo la Ley 21.719.
01 / Por qué España es el espejo correcto
La AEPD es el regulador más comparable a la futura APDP
No mires a Irlanda (megamultas a gigantes domiciliados por el mecanismo de ventanilla única). El comportamiento que replicará una APDP nueva se parece mucho más al de la agencia española.
- Es el regulador más activo de Europa por número de sanciones —cerca de mil publicadas desde 2018— y publica incluso multas de pocos cientos de euros. Un regulador nuevo que quiere hacerse notar tiende a esa lógica de volumen y visibilidad.
- Tradición jurídica e idioma compartidos, y una Ley 21.719 fuertemente alineada con el GDPR: el razonamiento de las resoluciones de la AEPD es directamente trasladable.
- El régimen de morosidad español (ficheros de solvencia patrimonial) es el análogo funcional del Título III chileno (datos de obligaciones económicas), donde se concentra buena parte del precedente útil para el sector.
- A escala europea, las autoridades reciben más de 100.000 reclamaciones de titulares al año: la denuncia individual es el motor real de fiscalización, no la investigación de oficio.
02 / Los cuatro arquetipos que golpean a la industria de información
Casos AEPD reales, mapeados a la Ley 21.719
Cada arquetipo trae: qué pasó, qué reprochó la AEPD, el artículo e infracción chilena equivalente, y qué perfiles del ecosistema replican ese riesgo.
Construir una base desde fuentes públicas y revenderla
→ Brokers y agregadores de datosEquifax — €1.000.000 y borrado íntegro del fichero FIJ, construido a partir del BOE, diarios oficiales y registros públicos. Detonado por 97 reclamaciones de titulares. La multa propuesta inicialmente alcanzaba €9M.
Vulneración del principio de limitación de la finalidad (uso secundario incompatible con el fin original de la publicación); falta de base de licitud; datos inexactos (la fuente no permite actualizarlos); y falla de transparencia (solo notificó a ~340 mil de ~4 millones de afectados). Rechazó de plano que “fuente accesible al público” legitime el tratamiento posterior.
Principio de finalidad Art. 3 lit. b; fuente pública no exime Art. 2 lit. i; dato enriquecido sigue protegido Art. 14 bis; transparencia Art. 14 ter (lit. d y j). Datos inexactos y tratamiento sin fundamento: infracción grave Art. 34 ter lit. a y d.
Tratar datos de morosidad / situación económica sin cumplir requisitos
→ Factoring, señales de situación financieraEquifax — €50.000 por incluir en fichero de morosos sin requerir previamente el pago ni notificar (confirmado por la Audiencia Nacional). Id Finance — €70.000 por reincorporar a una persona por una deuda impugnada y no exigible; el “error técnico” no eximió de responsabilidad.
Inclusión sin base legitimadora por incumplir los requisitos del fichero (requerimiento previo, notificación, deuda cierta y exigible). Comunicar datos no veraces sobre el titular es tratado con especial severidad.
Datos económicos por la vía correcta Art. 13 lit. a + Título III. Ceder a sabiendas información inexacta o desactualizada del titular: infracción gravísima Art. 34 quáter lit. c. La situación socioeconómica puede leerse como dato sensible Art. 2 lit. g.
Perfilar con interés legítimo mal documentado o consentimiento defectuoso
→ Scoring y enriquecimiento de datosBBVA — €5.000.000 (€3M por la fórmula de consentimiento para fines comerciales, muy grave + €2M por deber de información deficiente, leve); anulada en primera instancia por la Audiencia Nacional y reinstaurada por el Tribunal Supremo. CaixaBank — €6.000.000 (€4M por la fórmula de consentimiento, muy grave + €2M por información no uniforme, leve); la Audiencia Nacional la redujo luego a €2M al apreciar un concurso medial. En ambos, el problema de fondo fue la articulación del interés legítimo y la información al titular.
Fórmulas genéricas (“conocerte mejor”, “ofertas ajustadas a tu perfil”); no explicitar cuál es el interés legítimo; mezclar bases de licitud sin claridad. La AEPD ha sancionado la ausencia o insuficiencia del test de ponderación como infracción autónoma, con independencia del resultado del tratamiento.
Interés legítimo Art. 13 lit. d exige informar cuál es Art. 14 ter lit. d. Tratar sin fundamento que otorgue licitud: grave Art. 34 ter lit. a. Obstaculizar derechos del titular: Art. 34 ter lit. e.
Antifraude sin verificación de identidad ni ponderación previa
→ Verificación multicapa y scoring de fraudeDistribuidora — €60.000 por incluir a una persona en fichero de morosos sin comprobar su identidad, cuando en realidad un tercero había suplantado a la denunciante en la contratación. Sin diligencia mínima de verificación, no hay legitimación para el tratamiento.
“Prevención del fraude” es interés legítimo reconocido (Considerando 47 GDPR), pero no es una autorización automática: el EDPB exige necesidad estricta y ponderación. Es palanca que se argumenta y documenta, no una categoría que se invoca.
Interés legítimo Art. 13 lit. d (el Considerando 47 es referencia interpretativa no vinculante). Biometría / liveness / NFC: Art. 16 ter. Tratamiento fraudulento o con datos inexactos: Art. 34 quáter lit. a / Art. 34 ter lit. d.
03 / El patrón transversal
Base de licitud + finalidad + transparencia = casi toda la exposición
A nivel GDPR, la causal de multa más frecuente es tratar sin base de licitud suficiente, seguida del incumplimiento de los principios generales y de medidas de seguridad insuficientes. No te multan por ser data intelligence: te multan por el cómo.
El recorrido de una reclamación tipo deja ver dónde se rompe la cadena: basta con fallar en uno solo de los tres puntos para quedar expuesto.
04 / Cómo blindar
Las palancas que separan la multa modal del cumplimiento sólido
Todo lo anterior ataca el mismo puñado de puntos. En orden de retorno sobre esfuerzo:
1. Test de interés legítimo documentado, por escrito y previo
El LIA es tu activo principal. Debe existir antes de iniciar el tratamiento, identificar finalidad, necesidad y la ponderación frente a los derechos del titular, y conservarse. La AEPD lo sanciona por su sola ausencia. Base: Art. 13 lit. d.
2. Transparencia proactiva en el sitio web
Política pública que declare qué datos tratas, de qué fuente Art. 14 ter lit. j y cuál es el interés legítimo Art. 14 ter lit. d. Evita fórmulas genéricas: son exactamente lo que la AEPD multa.
3. Finalidad activa y purga
No acumular datos sin finalidad vigente. El dato guardado “por si acaso” es la falla de Equifax FIJ. Principio de finalidad Art. 3 lit. b; retener lo innecesario es Art. 34 ter lit. c.
4. Cadena de responsabilidad bien cortada
Definir en cada servicio si operas como cesión entre responsables Art. 15 —que acota tu exposición aguas abajo— o como encargo Art. 15 bis. Por contrato, no por defecto. La pregunta que decide el régimen es una sola: quién define la finalidad del tratamiento.
5. Enrutar los datos económicos por el régimen correcto
Morosidad y situación financiera: por Título III + Art. 13 lit. a, no por vías improvisadas. El Sistema de Finanzas Abiertas (inscripción PSBI ante la CMF) es la vía de acceso regulado con consentimiento del cliente.
6. Canal ARCO+ operativo — amortiguador contra el vector real
El riesgo realista no es la investigación de oficio; es el titular que ejerce un derecho, no obtiene respuesta y denuncia. El plazo legal para responder una solicitud ARCO+ es de 30 días corridos, prorrogable una sola vez; pasado ese plazo sin respuesta, la denuncia es casi automática. Obstaculizar ARCO+ es grave Art. 34 ter lit. e; desatender una resolución de la Agencia sobre esos derechos escala a gravísima Art. 34 quáter lit. i.
05 / Priorización
Para qué tipo de empresa el blindaje es prioritario
No todas las empresas de la cadena de información tienen la misma exposición. Ordenadas de mayor a menor urgencia:
Perfil idéntico al de Equifax FIJ. Máxima superficie de reclamación, y las tres fallas —licitud, finalidad, transparencia— concurren a la vez. Blindaje: LIA + política de transparencia + purga, sin excepción.
El error cuesta caro porque la infracción es gravísima (ceder a sabiendas dato inexacto). Alcanza a factoring y a las señales de situación financiera. Blindaje: régimen del Título III, exactitud verificable, y consentimiento cuando la vía lo exija.
Defendible bajo interés legítimo, pero probatoriamente exigente: sin LIA documentado y sin verificación de identidad, la posición se cae. Blindaje: ponderación por escrito, necesidad estricta, y cumplimiento de Art. 16 ter en biometría/liveness.
Error frecuente: creer que la responsabilidad “queda en el proveedor”. Cada consumidor es responsable de su propio tratamiento: debe informar al titular, tener su propia base de licitud y exigir contractualmente al proveedor la trazabilidad de la fuente.
Exposición baja: el dato anonimizado deja de ser dato personal, y las coordenadas de un negocio no son dato de persona natural. Pero nunca es cero: la reidentificación por combinación de datos vuelve a activar la ley.