La AEPD multa a CETELEM con 250.000 euros por cobrar a una persona durante meses las deudas de un tercero

Los hechos se remontan a julio de 2022, cuando CETELEM, sin que existiese ningún tipo de relación contractual, empezó a cargar en su cuenta bancaria recibos de un préstamo que no le correspondía. El reclamante protestó ante CETELEM y solicitó la supresión de sus datos, así como la devolución de los importes cobrados indebidamente. CETELEM reconoció el error y afirmó haber suprimido los datos de la cuenta del reclamante de su base de datos, pero no del contrato de la deuda. Un año después, en septiembre de 2023, CETELEM volvió a cargar en la cuenta del reclamante nuevos recibos de la misma deudora, lo que motivó una nueva reclamación y una denuncia policial por parte del interesado. CETELEM alegó entonces que había vendido la deuda a una tercera empresa, junto con el contrato que contenía el número de cuenta erróneo, y que la responsabilidad por la exactitud de los datos correspondía a la nueva empresa. No obstante, se encargó de resolver el nuevo incidente de cargos indebidos.

La AEPD analiza los fundamentos de derecho aplicables al caso y concluye que CETELEM ha vulnerado el artículo 6 del RGPD en dos ocasiones: la primera, cuando incorporó el número de cuenta del reclamante en el contrato de la deudora, sin contar con su consentimiento ni con ninguna otra base de legitimación; y la segunda, cuando cedió ese número de cuenta a una tercera empresa, sin haberlo rectificado ni suprimido, y con la oposición manifiesta del interesado. Asimismo, la AEPD considera que CETELEM ha incumplido el artículo 17.1.d) del RGPD, al no haber suprimido sin dilación indebida los datos personales del reclamante, que habían sido tratados ilícitamente, a pesar de su solicitud expresa.

La AEPD califica las tres infracciones como muy graves, de acuerdo con el artículo 83.5 del RGPD y el artículo 72.1.b) de la LOPDGDD, e impone a CETELEM una multa de 250.000 euros, teniendo en cuenta los criterios de graduación establecidos en el artículo 83.2 del RGPD y el artículo 76 de la LOPDGDD. De la misma, 100.000 euros corresponden a la infracción  inicial del artículo 6 del RGPD, 50.000 euros a la infracción del artículo 17.1.d) del RGPD y 100.000 euros por la segunda infracción del artículo 6. 

CETELEM ha optado por realizar el pago voluntario de la sanción propuesta, reconociendo así su responsabilidad en relación con los hechos a los que se refiere el acuerdo de inicio.