La administración concursal y la protección de datos

La Ley 22/2003, de 9 de julio, Concursal establece en su artículo 95 la obligación para la administración concursal de dirigir una comunicación electrónica al deudor y a los acreedores que hubiesen comunicado sus créditos y de los que conste su dirección electrónica, para informarles del proyecto de inventario y de la lista de acreedores, estén o no incluidos en la misma.

Con respecto al contenido de la lista de acreedores, que hay que comunicar por email tanto al deudor como a los acreedores, el art. 94.2 de la citada LC se limita a “la identidad de cada uno de ellos, la causa, la cuantía por principal y por intereses, fechas de origen y vencimiento de los créditos reconocidos de que fuere titular, sus garantías personales o reales y su calificación jurídica, indicándose, en su caso, su carácter de litigiosos, condicionales o pendientes de la previa excusión del patrimonio del deudor principal”.

Puesto que esa comunicación de información supone una cesión de datos amparada por una norma con rango de ley, para valorar el contenido de esa comunicación y determinar qué datos personales puede incluir, nos tendremos que ceñir a la finalidad de esa comunicación que tendrían que ser los datos mínimos para identificar a ese acreedor.

Con la entrada en vigor del RGPD, rige el principio de proporcionalidad de la información, lo que quiere decir que hay que tratar los datos mínimos imprescindibles para conseguir esa finalidad (minimización de datos).

Si los datos de razón social (personas jurídicas) y nombre y apellidos (personas físicas)  son suficientes para identificar al acreedor no deberían incluirse más. Si en el caso de la persona jurídica se añade el CIF o incluso el domicilio social, no habría problema en cuanto a protección de datos pues esta normativa sólo aplica a las personas físicas.  

Ahora bien, si el acreedor es una persona física, puesto que el art. 94.2. lo limita a la “identidad”, tan sólo deberían constar los datos de nombre completo y apellidos, sin DNI, y por supuesto, sin domicilio ni correo electrónico de contacto, pues esos datos podrían exceder de la finalidad de “identificar”. En este caso, podríamos estar incurriendo en una cesión de datos sin consentimiento ni legitimación, lo que puede suponer una infracción grave de la norma.

 

María Martín Pardo de Vera

mmartin@helasconsultores.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *