Nota comparada · Compliance

Compliance

Cómo fiscaliza la AEPD a la industria de información — y qué anticipa para la APDP

Precedente español aplicado a brokers, agregadores, antifraude y usuarios de datos. El foco: qué se sanciona, cómo blindarlo y para qué tipo de empresa el blindaje es prioritario bajo la Ley 21.719.

La AEPD es el regulador más comparable a la futura APDP

No mires a Irlanda (megamultas a gigantes domiciliados por el mecanismo de ventanilla única). El comportamiento que replicará una APDP nueva se parece mucho más al de la agencia española.

  • Es el regulador más activo de Europa por número de sanciones —cerca de mil publicadas desde 2018— y publica incluso multas de pocos cientos de euros. Un regulador nuevo que quiere hacerse notar tiende a esa lógica de volumen y visibilidad.
  • Tradición jurídica e idioma compartidos, y una Ley 21.719 fuertemente alineada con el GDPR: el razonamiento de las resoluciones de la AEPD es directamente trasladable.
  • El régimen de morosidad español (ficheros de solvencia patrimonial) es el análogo funcional del Título III chileno (datos de obligaciones económicas), donde se concentra buena parte del precedente útil para el sector.
  • A escala europea, las autoridades reciben más de 100.000 reclamaciones de titulares al año: la denuncia individual es el motor real de fiscalización, no la investigación de oficio.

Casos AEPD reales, mapeados a la Ley 21.719

Cada arquetipo trae: qué pasó, qué reprochó la AEPD, el artículo e infracción chilena equivalente, y qué perfiles del ecosistema replican ese riesgo.

A

Construir una base desde fuentes públicas y revenderla

→ Brokers y agregadores de datos
Caso

Equifax — €1.000.000 y borrado íntegro del fichero FIJ, construido a partir del BOE, diarios oficiales y registros públicos. Detonado por 97 reclamaciones de titulares. La multa propuesta inicialmente alcanzaba €9M.

Qué reprochó

Vulneración del principio de limitación de la finalidad (uso secundario incompatible con el fin original de la publicación); falta de base de licitud; datos inexactos (la fuente no permite actualizarlos); y falla de transparencia (solo notificó a ~340 mil de ~4 millones de afectados). Rechazó de plano que “fuente accesible al público” legitime el tratamiento posterior.

Equivalente CL

Principio de finalidad Art. 3 lit. b; fuente pública no exime Art. 2 lit. i; dato enriquecido sigue protegido Art. 14 bis; transparencia Art. 14 ter (lit. d y j). Datos inexactos y tratamiento sin fundamento: infracción grave Art. 34 ter lit. a y d.

Exposición
Grave — multa hasta 10.000 UTM Art. 35 lit. b
B

Tratar datos de morosidad / situación económica sin cumplir requisitos

→ Factoring, señales de situación financiera
Casos

Equifax — €50.000 por incluir en fichero de morosos sin requerir previamente el pago ni notificar (confirmado por la Audiencia Nacional). Id Finance — €70.000 por reincorporar a una persona por una deuda impugnada y no exigible; el “error técnico” no eximió de responsabilidad.

Qué reprochó

Inclusión sin base legitimadora por incumplir los requisitos del fichero (requerimiento previo, notificación, deuda cierta y exigible). Comunicar datos no veraces sobre el titular es tratado con especial severidad.

Equivalente CL

Datos económicos por la vía correcta Art. 13 lit. a + Título III. Ceder a sabiendas información inexacta o desactualizada del titular: infracción gravísima Art. 34 quáter lit. c. La situación socioeconómica puede leerse como dato sensible Art. 2 lit. g.

Exposición
Gravísima — multa hasta 20.000 UTM Art. 35 lit. c
C

Perfilar con interés legítimo mal documentado o consentimiento defectuoso

→ Scoring y enriquecimiento de datos
Casos

BBVA — €5.000.000 (€3M por la fórmula de consentimiento para fines comerciales, muy grave + €2M por deber de información deficiente, leve); anulada en primera instancia por la Audiencia Nacional y reinstaurada por el Tribunal Supremo. CaixaBank — €6.000.000 (€4M por la fórmula de consentimiento, muy grave + €2M por información no uniforme, leve); la Audiencia Nacional la redujo luego a €2M al apreciar un concurso medial. En ambos, el problema de fondo fue la articulación del interés legítimo y la información al titular.

Qué reprochó

Fórmulas genéricas (“conocerte mejor”, “ofertas ajustadas a tu perfil”); no explicitar cuál es el interés legítimo; mezclar bases de licitud sin claridad. La AEPD ha sancionado la ausencia o insuficiencia del test de ponderación como infracción autónoma, con independencia del resultado del tratamiento.

Equivalente CL

Interés legítimo Art. 13 lit. d exige informar cuál es Art. 14 ter lit. d. Tratar sin fundamento que otorgue licitud: grave Art. 34 ter lit. a. Obstaculizar derechos del titular: Art. 34 ter lit. e.

Exposición
Gris defendible — depende íntegramente de la calidad del test documentado
D

Antifraude sin verificación de identidad ni ponderación previa

→ Verificación multicapa y scoring de fraude
Caso

Distribuidora — €60.000 por incluir a una persona en fichero de morosos sin comprobar su identidad, cuando en realidad un tercero había suplantado a la denunciante en la contratación. Sin diligencia mínima de verificación, no hay legitimación para el tratamiento.

Qué reprochó

“Prevención del fraude” es interés legítimo reconocido (Considerando 47 GDPR), pero no es una autorización automática: el EDPB exige necesidad estricta y ponderación. Es palanca que se argumenta y documenta, no una categoría que se invoca.

Equivalente CL

Interés legítimo Art. 13 lit. d (el Considerando 47 es referencia interpretativa no vinculante). Biometría / liveness / NFC: Art. 16 ter. Tratamiento fraudulento o con datos inexactos: Art. 34 quáter lit. a / Art. 34 ter lit. d.

Exposición
Gris defendible — sólido si la verificación y el LIA existen; frágil si se asume la finalidad

Base de licitud + finalidad + transparencia = casi toda la exposición

A nivel GDPR, la causal de multa más frecuente es tratar sin base de licitud suficiente, seguida del incumplimiento de los principios generales y de medidas de seguridad insuficientes. No te multan por ser data intelligence: te multan por el cómo.

El recorrido de una reclamación tipo deja ver dónde se rompe la cadena: basta con fallar en uno solo de los tres puntos para quedar expuesto.

no

no

no

no

Dato de fuente pública

¿Finalidad compatible con el fin original?

Exposición: limitación de finalidad · Art. 3 lit. b

¿Base de licitud identificada?

Exposición: tratamiento sin fundamento · Art. 34 ter lit. a

¿LIA documentado y previo?

Frágil: la sola ausencia del test ya es sancionable

¿Transparencia proactiva: fuente e interés legítimo?

Exposición: deber de información · Art. 14 ter lit. d y j

Tratamiento defendible

Las palancas que separan la multa modal del cumplimiento sólido

Todo lo anterior ataca el mismo puñado de puntos. En orden de retorno sobre esfuerzo:

1. Test de interés legítimo documentado, por escrito y previo

El LIA es tu activo principal. Debe existir antes de iniciar el tratamiento, identificar finalidad, necesidad y la ponderación frente a los derechos del titular, y conservarse. La AEPD lo sanciona por su sola ausencia. Base: Art. 13 lit. d.

2. Transparencia proactiva en el sitio web

Política pública que declare qué datos tratas, de qué fuente Art. 14 ter lit. j y cuál es el interés legítimo Art. 14 ter lit. d. Evita fórmulas genéricas: son exactamente lo que la AEPD multa.

3. Finalidad activa y purga

No acumular datos sin finalidad vigente. El dato guardado “por si acaso” es la falla de Equifax FIJ. Principio de finalidad Art. 3 lit. b; retener lo innecesario es Art. 34 ter lit. c.

4. Cadena de responsabilidad bien cortada

Definir en cada servicio si operas como cesión entre responsables Art. 15 —que acota tu exposición aguas abajo— o como encargo Art. 15 bis. Por contrato, no por defecto. La pregunta que decide el régimen es una sola: quién define la finalidad del tratamiento.

Proveedor

Cliente

Servicio o línea de datos

¿Quién define la finalidad del tratamiento?

Cesión entre responsables · Art. 15 · acota la exposición aguas abajo

Encargo de tratamiento · Art. 15 bis · se rige por contrato

Definir por contrato, no por defecto

5. Enrutar los datos económicos por el régimen correcto

Morosidad y situación financiera: por Título III + Art. 13 lit. a, no por vías improvisadas. El Sistema de Finanzas Abiertas (inscripción PSBI ante la CMF) es la vía de acceso regulado con consentimiento del cliente.

6. Canal ARCO+ operativo — amortiguador contra el vector real

El riesgo realista no es la investigación de oficio; es el titular que ejerce un derecho, no obtiene respuesta y denuncia. El plazo legal para responder una solicitud ARCO+ es de 30 días corridos, prorrogable una sola vez; pasado ese plazo sin respuesta, la denuncia es casi automática. Obstaculizar ARCO+ es grave Art. 34 ter lit. e; desatender una resolución de la Agencia sobre esos derechos escala a gravísima Art. 34 quáter lit. i.

Para qué tipo de empresa el blindaje es prioritario

No todas las empresas de la cadena de información tienen la misma exposición. Ordenadas de mayor a menor urgencia:

Brokers / agregadores que construyen bases desde fuentes públicas y las revenden Máxima

Perfil idéntico al de Equifax FIJ. Máxima superficie de reclamación, y las tres fallas —licitud, finalidad, transparencia— concurren a la vez. Blindaje: LIA + política de transparencia + purga, sin excepción.

Quien trata morosidad o situación socioeconómica del titular Máxima

El error cuesta caro porque la infracción es gravísima (ceder a sabiendas dato inexacto). Alcanza a factoring y a las señales de situación financiera. Blindaje: régimen del Título III, exactitud verificable, y consentimiento cuando la vía lo exija.

Antifraude, scoring y perfilado Alta

Defendible bajo interés legítimo, pero probatoriamente exigente: sin LIA documentado y sin verificación de identidad, la posición se cae. Blindaje: ponderación por escrito, necesidad estricta, y cumplimiento de Art. 16 ter en biometría/liveness.

Usuarios / consumidores de la data (clientes de brokers y agregadores) Alta

Error frecuente: creer que la responsabilidad “queda en el proveedor”. Cada consumidor es responsable de su propio tratamiento: debe informar al titular, tener su propia base de licitud y exigir contractualmente al proveedor la trazabilidad de la fuente.

POI comercial, datos de personas jurídicas y datos anonimizados Menor

Exposición baja: el dato anonimizado deja de ser dato personal, y las coordenadas de un negocio no son dato de persona natural. Pero nunca es cero: la reidentificación por combinación de datos vuelve a activar la ley.