Protección de datos y gestión de listas negras de clientes en el sector del alquiler de vehículos

Informes10 de diciembre de 2025
La Agencia Española de Protección de Datos refuerza su criterio restrictivo sobre interés legítimo, decisiones automatizadas y exclusión comercial.

1.    Principales fundamentos de la Resolución

El expediente PS/00215/2024 se inicia a raíz de la reclamación de un cliente al que GOLDCAR SPAIN, S.L. denegó en 2021 la reserva de un vehículo, basándose en una anotación interna clasificada como “incidencia grave”.


Dicha anotación procedía de un hecho producido tres años antes (2018), cuando el vehículo alquilado por el reclamante fue denunciado como sustraído. Aunque el automóvil fue posteriormente recuperado y no se acreditó negligencia ni incumplimiento contractual por parte del cliente, la empresa mantuvo en su sistema interno (“Sigger System”) una marca de riesgo que, sin haber sido revisada ni cancelada, fue utilizada como fundamento para denegarle, años más tarde, la contratación de un nuevo coche de alquiler.


La AEPD, tras analizar la documentación aportada, determinó que esta práctica constituye un tratamiento autónomo e independiente de los datos personales, desvinculado de la finalidad inicial de gestión del contrato de alquiler. En consecuencia, debía contar con una base jurídica específica y una información adecuada al interesado, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, “RGPD”).


A partir de las actuaciones instructoras, la Agencia considera probados los siguientes extremos, cuya valoración jurídica resulta determinante:


a) Inexistencia de evaluación de ponderación o justificación documental

GOLDCAR no aportó ningún documento que acreditara haber realizado una evaluación de ponderación o análisis previo de proporcionalidad respecto al uso de los datos del cliente para prevenir posibles fraudes. Si bien es cierto que GOLDCAR aportó un documento con la ponderación de estos intereses, la AEPD considera que la misma, al no estar fechada, no fue realizada de forma previa al tratamiento de datos y, por ende, no es aplicable a este caso concreto. 


Este requisito de temporalidad, aunque no formalmente enumerado en el RGPD, deriva de la responsabilidad proactiva establecida en el artículo 5.2 y constituye la materialización del principio de “accountability”. Así, cualquier tratamiento amparado en el interés legítimo (art. 6.1.f) exige una documentación interna que demuestre:

  • La existencia de un interés real y concreto del responsable.
  • La necesidad del tratamiento para lograrlo.
  • La ponderación de dicho interés frente a los derechos y libertades del interesado.


En ausencia de esta documentación, el tratamiento no puede considerarse legítimo, ya que la ponderación no se presume, sino que debe probarse.


La Agencia considera especialmente grave esta omisión, pues parece evidenciar, según su interpretación, que el tratamiento se llevó a cabo sin un análisis previo del riesgo para los derechos del interesado.


b) Falta de información previa al interesado

La investigación de la AEPD confirmó que el reclamante no fue informado de que los datos personales aportados durante la contratación del primer coche de alquiler podrían ser conservados y reutilizados con una finalidad distinta —la prevención de riesgos o exclusión de clientes en la contratación— ni se le comunicó en ningún momento la existencia de sistemas internos de alertas o bloqueos ante incidentes semejantes al presente caso.


En este sentido, la AEPD señala en la Resolución que el cumplimiento de las obligaciones de información y legitimación se evalúa en el momento en que se produce el tratamiento, no de forma retroactiva. Por tanto, la política de privacidad actualizada en 2024 —aportada por GOLDCAR para justificar el tratamiento— no era aplicable a los hechos analizados, dado que los tratamientos se realizaron entre 2018 y 2021. 


De esta forma, aun cuando las versiones posteriores de la política introdujeran referencias a la “prevención del fraude” o a la “protección de la flota”, esta información extermporánea no es suficiente para subsanar una falta de base jurídica preexistente.


Este razonamiento se apoya en el hecho de que un responsable no puede corregir a posteriori un defecto de información o legitimación una vez que el tratamiento ya ha desplegado efectos sobre los derechos del interesado, como es el hecho de denegar la contratación de un coche de alquiler.


c) Inexistencia de riesgo objetivo o real de fraude

Otro de los elementos clave de la Resolución es la constatación de que no existía un riesgo objetivo o comprobado de fraude que justificara la inclusión del reclamante en un registro interno de exclusión. De esta forma, la anotación mantenida en el “Sigger System” derivaba de una sospecha inicial no confirmada basada en un incidente objetivo, no de una conducta dolosa o negligente acreditada por parte del reclamante.


La AEPD considera que este uso con fines preventivos de los datos personales no satisface el principio de necesidad y proporcionalidad, ni puede justificarse en el interés legítimo de forma automática, como sí podría ser el caso de aquellas “listas negras” que tienen su origen en habilitaciones legales directamente extraidas de la ley. En este sentido, cobra especial importancia la remisión que hace la AEPD a un Informe de su Gabinete Jurídico (0201/2010):

 

“Como bien indica este informe, un claro ejemplo de estas listas lo constituyen los sistemas de información crediticia, cuya regulación establece expresamente los supuestos de hecho objetivos que determinan la anotación de los datos personales en dicho sistema, así como la necesidad, como requisito determinante de la licitud del tratamiento de datos, de informar previamente sobre la posibilidad de registrar los datos si objetivamente se da el supuesto de hecho que determina la anotación.”

 

Es decir, la conclusión que se puede extraer de la interpretación realizada por la AEPD es que GOLDCAR, en este caso, no dispondría, de facto, de legitimación suficiente para el mantenimiento de estas listas negras. Sin embargo, esta interpretación en caso de ser una entidad financiera o sujeta, entre otras, a la normativa de Prevención de Blanqueo de Capitales, podría variar al contar con un marco legal habilitante para llevar a cabo este tipo de tratamientos, al reforzar la legitimación para ello. 


Así las cosas, según la AEPD el tratamiento se basó en un juicio de riesgo subjetivo, sin fundamento suficiente y, además, prolongado durante más de tres años. En este sentido, la Agencia enfatiza que la prevención genérica del fraude no basta para legitimar el tratamiento: el responsable debe demostrar que el tratamiento es estrictamente necesario para prevenir un riesgo cierto, actual y relevante, y no una mera posibilidad abstracta.


De lo contrario, según la AEPD el interés legítimo se convierte en un concepto vacío que desnaturaliza el equilibrio que el RGPD pretende garantizar entre la protección de datos y los intereses empresariales.


2.    ¿Es posible el uso del interés legítimo para la creación de “listas negras”?

La Resolución PS/00215/2024 no establece una prohibición expresa ni general del uso del interés legítimo como base jurídica para la creación o mantenimiento de listas internas de exclusión comercial. No obstante, sí plantea una interpretación restrcitiva de los requisitos necesarios para que este fundamento resulte válido en contextos en los que el tratamiento de datos personales pueda tener efectos  adversos sobre los derechos del interesado.  


a) Los requisitos aplicables

El artículo 6.1.f del RGPD permite el tratamiento de datos cuando “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero”, siempre que no prevalezcan los intereses o los derechos y libertades fundamentales del interesado.

Asimismo, el Comité Europeo de Protección de Datos (CEPD), ha desarrollado un marco metodológico en forma de prueba tripartita que exige verificar:

  • La existencia de un interés legítimo (lícito, específico y real).
  • La necesidad del tratamiento para alcanzarlo.
  • Que los derechos y libertades del interesado no prevalezcan sobre dicho interés (ponderación de intereses).

b) La postura de la AEPD 

Desde un enfoque práctico y preventivo, cabe destacar los aspectos claves señalados por esta Agencia con respecto al uso de esta base de legitimación: 

En concreto, la Agencia exige:

  • Una evaluación de ponderación previa y debidamente documentada, que no puede elaborarse a posteriori del tratamiento. El interés legítimo debe estar justificado en un informe de ponderación que anticipe el impacto sobre los derechos del interesado y documente medidas de mitigación.
  • Información clara y específica al interesado, en el momento de la recogida de datos, sobre la posibilidad de que sus datos sean tratados con finalidades de exclusión comercial.
  • Revisión del tratamiento. Asimismo, toda anotación de riesgo debe tener un plazo de conservación definido, vinculado a la finalidad que lo originó, y estar sujeta a revisión.
  • Prueba de un riesgo objetivo, actual y suficientemente acreditado, descartando que una simple sospecha o antecedente no imputable al interesado pueda justificar su inclusión en una lista restrictiva.
  • Responsabilidad proactiva efectiva: el cumplimiento debe demostrarse con evidencia documental. La ausencia de registros de evaluación, políticas aplicables al momento del tratamiento o trazabilidad de decisiones puede impicar el riesgo de que las entidades se enfrenten a sanciones elevadas.

Estas condiciones, aunque alineadas con los principios del RGPD, podrían ser interpretadas como una elevación del estándar jurídico más allá de lo requerido por el propio RGPD, especialmente en lo que se refiere a la necesidad de acreditar de forma previa y exhaustiva la proporcionalidad del tratamiento en escenarios donde, por definición, el riesgo es incierto o preventivo.


3.    Conclusiones

La Resolución PS/00215/2024 de la AEPD parece aportar un criterio interpretativo especialmente exigente en relación con el uso del interés legítimo como base jurídica para sistemas internos de exclusión comercial, consolidando una doctrina restrictiva en materia de tratamiento de datos personales con efectos jurídicos adversos para los interesados.


La Agencia, con esta Resolución, al  establecer un estándar de cumplimiento tan elevado —cercano al de los tratamientos con base en habilitación legal expresa—, podría generar un efecto inhibitorio sobre prácticas empresariales para la gestión de riesgo contractual, particularmente en sectores como el analizado,donde no existe normativa sectorial específica para este tipo de tratamientos.


En definitiva, aunque la AEPD aporta en su Resolución una orientación sobre el nivel de diligencia exigido para tratamientos basados en el interés legítimo, también deja traslucir una cierta ambigüedad interpretativa, en tanto que no niega la licitud general para este tipo de tratamientos (creación de listas negras), pero parece condicionarlo a la existencia de una norma habilitante, lo que supone un requisito no contemplado en la normativa de protección de datos y cuya exigibilidad es discutible, siempre que pueda fundamentarse debidamente la existencia de un interés legítimo preponderante. 


Nota informativa elaborada por el área de Protección de Datos de ECIJA Madrid.

Un grupo de aves vuela sobre un paisaje natural en blanco y negro.

Socios relacionados

ACTUALIDAD #ECIJA