En este caso la empresa sancionada se encontraba en un proceso de selección de personal a través de Infojobs, para un cargo de abogado. En este contexto, antes de llamar al candidato reclamante, la empresa consultó el fichero de solvencia ASNEF y, tras comprobar que el nombre del reclamante no constaba en él, le llamó para continuar con el proceso de selección.
El reclamante llegó a tener conocimiento de esta consulta a partir del historial de búsquedas de su nombre efectuadas en dicho fichero, proporcionado por ASNEF.
De esta forma, el reclamante alega que sus datos personales fueron tratados para una finalidad distinta a la del fichero, que dice ser la de “valorar la situación patrimonial a raíz de una futura relación comercial, de crédito o de pago periódico o aplazado”. Además de ello, alega no haber sido informado por la sancionada de este hecho, ni haber otorgado su consentimiento previo para este tratamiento.
La sancionada, por su parte, se defiende diciendo que este tipo de consultas son una práctica habitual en los procesos de selección para altos cargos y cargos de personas colegiadas, como es la profesión de abogado. Además de esto, no aporta ninguna prueba ni documentación adicional.
También se realiza una consulta a Equifax sobre esta situación, que dice no tener posibilidad de controlar “si alguna entidad está dando al fichero una finalidad distinta de la de solvencia y bajo qué base legitimadora lo haría”.
Con toda esta información, la Agencia Española de Protección de Datos (AEPD) ha concluido que existe una infracción del artículo 6.1 del RGPD por parte de la sancionada, por haber llevado a cabo un tratamiento de datos personales sin contar con una de las bases legitimadoras previstas en dicho texto.
Además, se hace referencia al artículo 20 de la LOPDGDD que, en relación a los sistemas de información crediticia, “establece criterios de prevalencia del interés legítimo en el tratamiento de los datos de las personas físicas en los sistemas de información crediticia, sean profesionales liberales, empresarios individuales o no. De aquí que en este caso concreto no podría ser el interés legítimo, porque no se cumplen los criterios del art. 20 de la LOPDGDD, el responsable no indica cuál es su interés legítimo ni aporta una ponderación que permita acreditar la prevalencia del interés legítimo y tampoco se facilita información al reclamante sobre la posibilidad de consulta, por lo que dentro de sus expectativas razonables no se encuentra la de que consulten sus datos.”