Protecció de dades i gestió de la llista negra de clients en el sector del lloguer de cotxes

Informes10 de desembre del 2025
L'Agència Espanyola de Protecció de Dades reforça els seus criteris restrictius sobre l'interès legítim, les decisions automatitzades i l'exclusió comercial.

1. Motius principals de la Resolució

El cas PS/00215/2024 es va iniciar arran d'una queixa d'un client a qui GOLDCAR SPAIN, S.L. li va denegar la reserva del vehicle l'any 2021, basant-se en una nota interna classificada com a "incident greu".


Aquesta nota es va originar en un incident que va tenir lloc tres anys abans (2018), quan el vehicle llogat pel recurrent va ser denunciat com a robat. Tot i que el cotxe es va recuperar posteriorment i no es va demostrar cap negligència ni incompliment de contracte per part del client, l'empresa va mantenir una marca de risc en el seu sistema intern («Sigger System») que, sense haver estat revisada ni cancel·lada, es va utilitzar com a motiu per denegar-li el lloguer d'un nou cotxe anys més tard.


Després d'analitzar la documentació aportada, l'AEPD va determinar que aquesta pràctica constitueix un tractament autònom i independent de dades personals, no relacionat amb la finalitat inicial de gestionar el contracte de lloguer. En conseqüència, ha de tenir una base jurídica específica i una informació adequada per a l'interessat, d'acord amb el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016 relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades, i pel qual es deroga la Directiva 95/46/CE (en endavant, «RGPD»).


D'acord amb els procediments preliminars, l'Agència considera que els punts següents estan provats, la valoració jurídica dels quals és decisiva:


a) Mancança d'avaluació de la ponderació o de justificació documental

GOLDCAR no va aportar cap document que provés que havia dut a terme una avaluació d'interessos o una anàlisi prèvia de proporcionalitat pel que fa a l'ús de les dades dels clients per prevenir possibles fraus. Tot i que és cert que GOLDCAR va aportar un document que avalua aquests interessos, l'AEPD considera que, com que no té data, no es va dur a terme abans del tractament de les dades i, per tant, no és aplicable a aquest cas concret.


Aquest requisit de temporalitat, tot i que no figura formalment a la RGPD, deriva de la responsabilitat proactiva establerta a l'article 5.2 i constitueix la materialització del principi de «responsabilitat proactiva». Així, qualsevol tractament emmarcat en l'interès legítim (art. 6.1.f) requereix documentació interna que demostri:

  • L'existència d'un interès real i específic per part del responsable del tractament.
  • La necessitat del tractament per assolir aquest interès.
  • L'equilibri d'aquest interès amb els drets i llibertats de l'interessat.


En absència d'aquesta documentació, el tractament no es pot considerar legítim, ja que l'equilibri d'interessos no es pot presumir, sinó que s'ha de demostrar.


L'Agència considera aquesta omissió especialment greu, ja que sembla indicar, segons la seva interpretació, que el tractament es va dur a terme sense una anàlisi prèvia del risc per als drets de l'interessat.


b) Mancança d'informació prèvia a l'interessat

La investigació de l'AEPD va confirmar que no es va informar el reclamant que les dades personals facilitades durant el lloguer del primer vehicle es poguessin emmagatzemar i reutilitzar per a un altre propòsit —la prevenció de riscos o l'exclusió de clients del lloguer—, ni se li va informar en cap moment de l'existència de sistemes interns d'alerta o bloqueig per a incidents similars al present cas.


En aquest sentit, l'AEPD assenyala en la seva resolució que el compliment de les obligacions d'informació i legitimitat s'avalua en el moment del tractament, no de manera retroactiva. Per tant, la política de privacitat actualitzada el 2024 —que va proporcionar GOLDCAR per justificar el tractament— no era aplicable als fets analitzats, atès que el tractament va tenir lloc entre el 2018 i el 2021.


Així, tot i que les versions posteriors de la política van introduir referències a la «prevenció del frau» o a la «protecció de la flota», aquesta informació ex post facto no és suficient per a subsanar una manca de base jurídica preexistent.


Aquest raonament es basa en el fet que un responsable del tractament no pot corregir retrospectivament un defecte d'informació o de legitimitat un cop el tractament ja ha tingut un efecte en els drets de l'interessat, com ara denegar-li el lloguer d'un cotxe.


c) Cap risc objectiu o real de frau

Un altre element clau de la Resolució és la constatació que no hi havia cap risc objectiu o provat de frau que justifiqués la inclusió de la reclamant en un registre intern d'exclusió. Així, l'entrada al "Sigger System" es va basar en una sospita inicial no confirmada, basada en un incident objectiu, i no en una conducta malintencionada o negligent provada per part de la reclamant.


L'AEPD considera que aquest ús preventiu de dades personals no compleix el principi de necessitat i proporcionalitat, ni es pot justificar automàticament en virtut de l'interès legítim, com podria ser el cas de les «llistes negres» que tenen el seu origen en autoritzacions legals directament derivades de la llei. En aquest sentit, és especialment important la referència de l'AEPD a un informe del seu Departament Jurídic (0201/2010):


«Com indica clarament aquest informe, un exemple clar d'aquestes llistes són els sistemes d'informació creditícia, la regulació dels quals estableix expressament les circumstàncies fàctiques objectives que determinen la inscripció de dades personals en aquests sistemes, així com la necessitat, com a requisit determinant per a la licitud del tractament de dades, de notificar prèviament la possibilitat de la inscripció de les dades si les circumstàncies fàctiques que la determinen existeixen objectivament.»


En altres paraules, la conclusió que es pot extreure de la interpretació de l'AEPD és que GOLDCAR, en aquest cas, no tindria, de facto, la legitimitat suficient per mantenir aquestes llistes negres. No obstant això, aquesta interpretació, en el cas d'una entitat financera o d'una entitat subjecta, entre d'altres, a la normativa contra el blanqueig de capitals, podria variar, ja que existeix un marc legal que permet aquest tipus de tractament, reforçant-ne la legitimitat.


Tal com estan les coses, segons l'AEPD, el tractament es basava en una avaluació de risc subjectiva, sense fonaments suficients i, a més, es va prolongar durant més de tres anys. En aquest sentit, l'Agència subratlla que la prevenció genèrica del frau no és suficient per legitimar el tractament: el responsable del tractament ha de demostrar que el tractament és estrictament necessari per prevenir un risc cert, actual i rellevant, i no una simple possibilitat abstracta.


Altrament, segons l'AEPD, l'interès legítim es converteix en un concepte buit que distorsiona l'equilibri que el RGPD pretén garantir entre la protecció de dades i els interessos empresarials.


2. És possible utilitzar l'interès legítim per a la creació de "llistes negres"?

La Resolució PS/00215/2024 no estableix una prohibició expressa o general de l'ús de l'interès legítim com a base jurídica per a la creació o manteniment de llistes d'exclusió comercials internes. No obstant això, sí que proposa una interpretació restrictiva dels requisits necessaris perquè aquesta base sigui vàlida en contextos en què el tractament de dades personals pugui tenir efectes adversos en els drets de l'interessat.


a) Requisits aplicables

L'article 6.1.f del RGPD permet el tractament de dades quan «sigui necessari per a l'assoliment dels interessos legítims perseguits pel responsable del tractament o per un tercer», sempre que no prevalguin els interessos o els drets i llibertats fonamentals de l'interessat.

De la mateixa manera, el Comitè Europeu de Protecció de Dades (CEPD) ha desenvolupat un marc metodològic en forma d'una prova de tres parts que requereix la verificació de:

  • L'existència d'un interès legítim (lícit, específic i real).
  • La necessitat del tractament per assolir-lo.
  • Que els drets i llibertats de l'interessat no prevaleixin sobre aquest interès (contrapesament d'interessos).

b) La posició de l'AEPD 

Des d'un enfocament pràctic i preventiu, cal destacar els aspectos clau assenyalats per aquesta Agència pel que fa a l'ús d'aquesta base de legitimitat:

Concretament, l'Agència requereix:

  • Una avaluació d'equilibri prèvia i degudament documentada, que no es pot dur a terme després del tractament. L'interès legítim s'ha de justificar en un informe d'equilibri que prevegi l'impacte en els drets de l'interessat i documenti les mesures d'atenuació.
  • Informació clara i específica al responsable del tractament, en el moment de la recollida de les dades, sobre la possibilitat que les seves dades es tractin amb finalitats d'exclusió comercial.
  • Revisió del tractament. A més, qualsevol anotació de risc ha de tenir un termini de conservació definit, vinculat a la finalitat que l'ha originat, i estar subjecta a revisió.
  • Prova d'un risc objectiu, actual i prou fonamentat, descartant que una simple sospita o un antecedent no atribuïble a l'interessat pugui justificar la seva inclusió en una llista restrictiva.
  • Responsabilitat proactiva efectiva: el compliment s'ha de demostrar amb proves documentals. L'absència de registres d'avaluació, polítiques aplicables en el moment del tractament o de traçabilitat de les decisions pot implicar el risc que les entitats s'enfrontin a sancions greus.

Aquestes condicions, tot i que estan alineades amb els principis del RGPD, es podrien interpretar com una elevació de l'estàndard legal més enllà del que requereix el mateix RGPD, especialment pel que fa a la necessitat de demostrar per avançat i de manera exhaustiva la proporcionalitat del tractament en escenaris on, per definició, el risc és incert o preventiu.


3. Conclusions 

La Resolució PS/00215/2024 de l'AEPD sembla establir un criteri interpretatiu especialment exigent pel que fa a l'ús de l'interès legítim com a base jurídica per als sistemes interns d'exclusió comercial, consolidant una doctrina restrictiva sobre el tractament de dades personals amb efectes jurídics adversos per als interessats.


En establir un estàndard de compliment tan elevat —proper al de les tractacions basades en una autorització legal expressa— l'Agència podria tenir un efecte inhibidor en les pràctiques empresarials de gestió del risc contractual, especialment en sectors com l'analitzat, on no hi ha regulacions sectorials específiques per a aquest tipus de tractament.


En resum, tot i que l'AEPD ofereix orientacions en la seva Resolució sobre el nivell de diligència requerit per al tractament basat en l'interès legítim, també revela una certa ambigüitat interpretativa, ja que no nega la licitud general d'aquest tipus de tractament (creació de llistes negres), però sembla condicionar-ho a l'existència d'una regulació habilitant, un requisit no contemplat en les normatives de protecció de dades i la seva aplicabilitat és discutible, sempre que es pugui demostrar degudament l'existència d'un interès legítim imperant.


Nota informativa elaborada pel Departament de Protecció de Dades d'ECIJA Madrid.

Un grupo de aves vuela sobre un paisaje natural en blanco y negro.

Sòcies/socis relacionats

ACTUALITAT #ECIJA