ai-00439-2025.pdf

https://www.aepd.es/documento/ai-00439-2025.pdf

Success

Service

Specialism

2026-06-24 08:11:10 · tojuri@vixio.com

Meta Id: 3263761
Content ID: 3272243
GUID: 64b680bc579736a616d651c195c1d9b6

Pipeline Progress

🔄 Pipeline Journey

⏱ 12s total

✓

Queued 08:10:57

+0s

✓

Metadata 08:10:57

+0s

✓

S3 Content 08:10:57

+1s

✓

Extracted 08:10:58

+6s

✓

LLM Gen 08:11:04

+5s

✓

Stored 08:11:09

TITLE: Spanish Data Protection Agency Archives Investigation into Techorro Spain Credit File Inclusion BODY: On September 16, 2025, the Spanish Data Protection Agency (AEPD) admitted a complaint for processing against Techorro Spain, S.L., which operates under the commercial name Cozmo, following a claim filed on June 16, 2025. The complainant alleged that their personal data had been included in common credit information systems on May 20, 2025, without prior payment demand, in violation of Article 20.1.c) of the Organic Law 3/2018 on Personal Data Protection and Digital Rights (LOPDGDD). The AEPD's General Subdirectorate of Data Inspection conducted preliminary investigative actions to clarify the facts. The investigation established that the complainant had contracted a loan with Techorro on April 3, 2025, with a maturity date of April 17, 2025. The loan contract explicitly included a clause stating that in case of non-payment, the borrower's data would be included in common credit information systems, specifically in the credit registry referenced as ***Empresa.1. The complainant's data were subsequently included in this system on May 20, 2025. Under Article 20.1.c) of the LOPDGDD, the processing of personal data relating to non-compliance with monetary, financial, or credit obligations by common credit information systems is presumed lawful when the creditor has informed the affected person in the contract or at the moment of requesting payment about the possibility of inclusion in such systems. The AEPD determined that Techorro had satisfied this requirement through explicit contractual disclosure. Although the complainant claimed to have submitted an extrajudicial complaint, they provided no evidence of its transmission. Applying the principle of presumption of innocence, the AEPD found insufficient rational evidence to attribute data protection violations to Techorro. The AEPD issued a resolution on an unspecified date archiving the proceedings. Interested parties may file a motion for reconsideration with the AEPD within one month of notification or lodge administrative contentious proceedings before the National Court's Administrative Chamber within two months of notification.

1/6 Expediente N.º: EXP202513234  RESOLUCIÓN DE ARCHIVO DE ACTUACIONES De las actuaciones practicadas por la Agencia Española de Protección de Datos y teniendo como base los siguientes HECHOS PRIMERO: Con fecha 16 de junio de 2025, se presentó reclamación ante la Agencia Española de Protección de Datos contra TECHORRO SPAIN, S.L. con NIF B16403032 (en adelante, la parte reclamada o TECHORRO). Los motivos en que basa la reclamación son los siguientes: La parte reclamante manifiesta que, en fecha 20 de mayo de 2025, sus datos personales han sido incluidos en sistemas comunes de información crediticia sin requerimiento previo de pago, de conformidad con el artículo 20.1.c) de la LOPDGDD, por parte de la entidad TECHORRO, que opera bajo la marca COZMO. Asimismo, en su escrito hace referencia a que habría presentado una “reclamación extrajudicial” que habría sido ignorada. Junto a la notificación se aporta, entre otra documentación: - Contrato de préstamo con COZMO, en el que se indica, dentro del apartado “información general” apartado 3 referido a “costes del crédito” que, “en caso de impago, los datos del prestatario serán incluidos en los ficheros comunes de solvencia patrimonial y crédito (en particular, de ***EMPRESA.1). -correos electrónicos intercambiados con la parte reclamada. - registro de llamadas y mensajes, supuestamente recibidos de la entidad reclamada. - escrito de “reclamación extrajudicial, requerimiento de cancelación de deuda, indemnización e inicio de acciones legales”, de fecha 16 de junio de 2025, del que no consta su remisión. SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la TECHORRO, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es 2/6 El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LPACAP), fue recogido en fecha 2 de septiembre de 2025 como consta en el acuse de recibo que obra en el expediente. No se ha recibido respuesta a este escrito de traslado. TERCERO: Con fecha 16 de septiembre de 2025, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD, sin que se haya podido obtener información adicional a la aportada en la reclamación. En particular: 1. El 3 de abril de 2025 la parte reclamante contrata un préstamo con la parte reclamada. 2. El 17 de abril de 2025 es la fecha de vencimiento de este préstamo. 3. En las cláusulas particulares del contrato, en el apartado sobre costes en caso de pagos atrasados, se incluye la siguiente cláusula: “En caso de impago, los datos del Prestatario serán incluidos en los ficheros comunes de solvencia patrimonial y crédito (en particular, de ***EMPRESA.1).”. 4. El 20 de mayo de 2025 los datos de la parte reclamante son incluidos en el sistema de información crediticia ***EMPRESA.1. FUNDAMENTOS DE DERECHO I Competencia De acuerdo con las funciones que el artículo 57.1 a), f) y h) del Reglamento (UE) 2016/679 (Reglamento general de protección de datos, en adelante RGPD) confiere a cada autoridad de control y según lo dispuesto en los artículos 47 y 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), es competente para resolver estas actuaciones de investigación la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es 3/6 reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Licitud del tratamiento El artículo 6.1 del RGPD señala: “1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones”. III Sistemas de información crediticia El artículo 20 de la LOPDGDD, que regula los sistemas de información crediticia, dispone en su apartado primero lo siguiente: "1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos: (…) b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es 4/6 c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe. La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo. (…)" IV Conclusión En el presente caso, la parte reclamante manifestaba que tras haber firmado un contrato de préstamo con la entidad TECHORRO, que actúa con el nombre comercial COZMO, había sido inscrita en un sistema de información crediticia. Junto a su reclamación aportaba el contrato que había firmado con la entidad, en el que se incluía expresamente que, en caso de impago, los datos del Prestatario serán incluidos en los ficheros comunes de solvencia patrimonial, en concreto en ***EMPRESA.1. El artículo 20.1.c) de la LOPDGDD recoge expresamente que, salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe. En el caso que nos ocupa, la parte reclamante ha aportado el contrato que tenía firmado con la entidad reclamada, y se ha comprobado que se informaba de la posibilidad de inclusión en sistemas comunes de información crediticia en el caso de impago. Por otra parte, aun cuando afirma haber “remitido” una reclamación extrajudicial en relación con este asunto, únicamente adjunta un documento de fecha posterior a la inscripción en el sistema de solvencia, respecto al que no acredita su remisión. Por tanto, de conformidad con lo señalado anteriormente, no ha sido posible determinar la existencia de indicios suficientes de infracción en el ámbito competencial de la AEPD. A este respecto, debe destacarse que en el ámbito administrativo sancionador son de aplicación, con alguna matización, pero sin excepciones, los principios inspiradores del orden penal, teniendo plena virtualidad el principio de presunción de inocencia, que debe regir sin excepciones en el ordenamiento sancionador y ha de ser respetado en la imposición de cualesquiera sanciones. El Tribunal Constitucional en Sentencia 76/1990, considera que el derecho a la presunción de inocencia comporta C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es 5/6 “que la sanción esté basada en actos o medios probatorios de cargo o incriminadores de la conducta reprochada; que la carga de la prueba corresponda a quien acusa, sin que nadie esté obligado a probar su propia inocencia; y que cualquier insuficiencia en el resultado de las pruebas practicadas, libremente valorado por el órgano sancionador, debe traducirse en un pronunciamiento absolutorio”. De acuerdo con este planteamiento, el artículo 53.2 de la LPACAP, establece que, en el caso de procedimientos administrativos de naturaleza sancionadora, los presuntos responsables tendrán los siguientes derechos: “b) A la presunción de no existencia de responsabilidad administrativa mientras no se demuestre lo contrario.” Como ha precisado el Tribunal Supremo en Sentencia de 26 de octubre de 1998, la vigencia del principio de presunción de inocencia “no se opone a que la convicción judicial en un proceso pueda formarse sobre la base de una prueba indiciaria, pero para que esta prueba pueda desvirtuar dicha presunción debe satisfacer las siguientes exigencias constitucionales: los indicios han de estar plenamente probados – no puede tratarse de meras sospechas – y tiene que explicitar el razonamiento en virtud del cual, partiendo de los indicios probados, ha llegado a la conclusión de que el imputado realizó la conducta infractora, pues, de otro modo, ni la subsunción estaría fundada en Derecho ni habría manera de determinar si el proceso deductivo es arbitrario, irracional o absurdo, es decir, si se ha vulnerado el derecho a la presunción de inocencia al estimar que la actividad probatoria pueda entenderse de cargo.” Así las cosas, se debe distinguir la verdadera prueba de indicios de las meras sospechas o conjeturas. El Tribunal Constitucional ha manifestado en su Sentencia 24/1997 que “los criterios para distinguir entre pruebas indiciarias capaces de desvirtuar la presunción de inocencia y las simples sospechas se apoyan en que: a) La prueba indiciaria ha de partir de hechos plenamente probados. b) Los hechos constitutivos de delito deben deducirse de esos indicios (hechos completamente probados) a través de un proceso mental razonado y acorde con las reglas del criterio humano, explicitado en la sentencia condenatoria (SSTC 174/1985, 175/1985, 229/1988, 107/1989, 384/1993 y 206/1994, entre otras).” En definitiva, el principio de presunción de inocencia impide imputar una infracción administrativa cuando no se haya obtenido y constatado una prueba de cargo que acredite los hechos que motivan la imputación o la intervención en los mismos del presunto infractor. En el presente caso, como se ha expuesto, no se han encontrado indicios racionales suficientes que permitirían imputar a la parte reclamada la comisión de infracciones de C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es 6/6 la normativa de protección de datos personales, por lo que no cabe estimar enervado el derecho a la presunción de inocencia que le ampara. Todo ello sin perjuicio de las posibles actuaciones posteriores que esta Agencia pudiera llevar a cabo, aplicando los poderes de investigación y correctivos que ostenta. Por tanto, de acuerdo con lo señalado, por la Presidencia de la Agencia Española de Protección de Datos, SE ACUERDA: PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones. SEGUNDO: NOTIFICAR la presente resolución a TECHORRO SPAIN, S.L. y a la parte reclamante. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y de conformidad con lo establecido en los arts. 112 y 123 de la citada Ley 39/2015, de 1 de octubre, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. 940-101025 Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

✓ Scraped:2026-06-24 08:11:10
✓ Created:2026-06-24 08:11:09
✓ By:tojuri@vixio.com (9)