LOS ABUSOS DE LAS EMPRESAS
Avalmadrid cedió a un director general bases de datos de los clientes sin su conocimiento
Avalmadrid vivió entre 2016 y 2021 unos años turbulentos. La sociedad de garantía recíproca madrileña pasó de ser una empresa dedicada a un trabajo muy técnico y poco conocido, proporcionar avales a pymes y autónomos para que los bancos les prestasen dinero, a situarse en el centro de una tormenta de escándalos que abrió el Banco de España, con un expediente sancionador por incumplir el control de riesgos, y culminó cuando se supo que había perdonado una deuda a los padres de Isabel Díaz Ayuso, tal y como reveló infoLibre [Aquí puede leer las informaciones exclusivas publicadas].
En 2020, el Banco de España sancionó a Avalmadrid y a una quincena de sus consejeros y altos ejecutivos con multas que sumaron más de medio millón de euros por infracciones graves, algunas de ellas aún en fase de recurso. Mientras, la Asamblea de Madrid abría una comisión de investigación sobre las irregularidades y el trato de favor en los préstamos y avales que había concedido la sociedad de garantías entre 2007 y 2018.
Tras un año de comparecencias, la comisión concluyó que Avalmadrid había dado “un trato personalizado y preferente” a la empresa de los padres de la presidenta madrileña y que había llevado a cabo “una gestión negligente en el seguimiento y recobro” del aval de 400.000 euros que le otorgó. También estableció que la sociedad había sido utilizada como “una herramienta de salvamento y socorro de empresas y empresarios vinculados con el Partido Popular, “saltándose a tal efecto las normas internas, los requerimientos del Banco de España y una mínima conducta ética”.
A resultas de tanta agitación, desde 2018 Avalmadrid ha tenido cuatro presidentes y cuatro directores generales.
Pero la falta de diligencia se extendía más allá de la operativa financiera. También afectó a asuntos elementales como la protección de datos. Según la información a la que ha tenido acceso infoLibre, Avalmadrid proporcionó a uno de sus directores generales, Jorge Morán Santor, para fines particulares, la base de datos de sus clientes, con registros de 3.564 pymes y autónomos a los que había concedido avales entre 2008 y 2015, así como la base SABI, que tiene contratada con la empresa Informa para uso interno. Lo hizo en dos ocasiones, en 2017 y en 2019, para que elaborara su tesis doctoral. Además, Morán Santor facilitó los datos a un profesor de la UNED, con quien firmó un artículo en una revista de economía, y a algunos de sus alumnos en Cunef –una institución universitaria de la patronal de banca que depende de la Complutense y donde imparte clases– para que redactaran dos Trabajos de Fin de Máster (TFM). Cuando Morán Santor solicitó por primera vez acceso a ambas bases de datos aún era director general de Avalmadrid; cuando repitió la petición, llevaba fuera de la sociedad poco más de un año.
La base SABI es un software con información de más de 2,9 millones de empresas españolas y 900.000 portuguesas que permite hacer análisis financieros, según describe Informa en su página web. En el caso de la base contratada por Avalmadrid, contenía 161.000 registros de empresas y autónomos de la Comunidad de Madrid. El objeto de la cesión al director general era cruzar la base de datos de clientes de Avalmadrid con la base SABI.
Entre la primera operación y la segunda, en diciembre de 2018, se aprobó la Ley Orgánica de Protección de Datos, que incorporó al ordenamiento español el Reglamento de la UE de 2016 sobre la misma materia. Hasta entonces se aplicaba la ley de 1999, con un régimen muy similar de protección. Las dos diferencias básicas: en 2018 se eliminó el consentimiento tácito de los usuarios, que permitía el tratamiento de datos personales si no mediaba una autorización expresa, y se incorporó a los autónomos al ámbito de protección de la ley.
De acuerdo con el contenido de los correos a los que ha tenido acceso infoLibre, la información facilitada sobre los clientes de Avalmadrid incluía datos financieros, desde el importe del aval solicitado y el finalmente concedido hasta las cuotas pagadas, los fallidos, su periodo medio de pago a proveedores, el circulante, la plantilla o su deuda, entre otros. Y datos personales como el NIF o la fecha de nacimiento en el caso de los autónomos. Los Excel con toda esa información fueron suministrados por correo electrónico en varias ocasiones y con correcciones sucesivas según las iba pidiendo Jorge Morán. El 16 de enero de 2017 recibió un Excel con miles de registros, desglosados entre pymes y autónomos. Ninguno de ellos estaba anonimizado o seudonimizado, las dos técnicas que pudieron haberse utilizado para ocultar la identidad de los clientes de Avalmadrid. Con la primera, se elimina de forma irreversible la identificación del propietario del dato. Con la segunda, se sustituye su identidad por un alias o un seudónimo y es un proceso reversible.
Cedió la base SABI a un tercero
Además, los datos de SABI fueron proporcionados al director general con una justificación falsa. Para analizarlos y elaborar un artículo que debía servir, a su vez, para sustentar la tesis doctoral de Jorge Morán, éste contrató a Rodrigo Martín García, un profesor de Economía de la UNED, donde el director general iba a presentar su trabajo de investigación. “Le he pasado la base de datos que tú me has generado y él tiene dudas que necesita ver contigo”, le dice Morán Santor al responsable de informática de Avalmadrid cuando pone a ambos en contacto el 22 de marzo de 2017. Un mes más tarde, el 27 de abril, el informático advierte a Morán y Martín de que la exportación que le permite hacer Informa de la base SABI es “limitada”. “Me han dicho que como algo excepcional pueden autorizarnos un usuario que permitiría realizar la extracción completa si justificamos el motivo de la extracción, les decimos exactamente qué campos queremos y nos comprometemos a no utilizar esos datos más que para uso interno”, les explica. “Os agradecería”, añade, “que me ayudarais con la justificación”.
Rodrigo Martín le responde asegurando que BvD –Bureau van Dijk, la matriz belga de Informa– “no funciona nada bien” e incluso “falta a la verdad cuando hace la labor comercial”. “Una vez que contrata, limita el acceso a los datos y cada vez utiliza una justificación o un requisito distinto. En realidad, no deberían pedir más compromiso que el de la no utilización comercial por nuestra parte de los datos”. “Pienso que se les puede justificar diciendo que es para un estudio acerca del impacto de la actividad de la entidad, que es exactamente lo que es”, sugiere, y pregunta al director general: “Jorge, ¿te parece bien?”. A continuación, este le pide al responsable de informática que se ponga en contacto con Informa. “Y si te ponen pegas, me vienes a ver para que veamos otras opciones”, concluye.
En efecto, el paper que publicaron Rodrigo Martín y Jorge Morán en junio de 2019 versa sobre los efectos que los avales públicos concedidos por Avalmadrid tuvieron sobre las inversiones y la actividad de las pymes en 2009 y 2011, cuando las restricciones al crédito por culpa de la crisis financiera eran máximas, y durante la fase de recuperación, entre 2012 y 2015. Los autores concluyen que esas garantías públicas funcionaron como un instrumento contracíclico –contrarrestaron los efectos negativos de la crisis–. Aunque el objeto de estudio era Avalmadrid, el artículo no fue encargado o pagado por la sociedad de garantías; su fin era únicamente servir como apoyo a la tesis doctoral del director general. Es decir, el uso que Martín y Morán dieron a la base SABI estaba lejos de ser “interno”.
infoLibre ha preguntado a Informa por esta cesión de los datos que había contratado con Avalmadrid y de la que niega “tener constancia”. “No hay registrada ninguna incidencia al respecto”, asegura un portavoz de la empresa. No obstante, según ha podido comprobar este periódico, en el contrato de licencia de uso de SABI que Informa suscribe con sus clientes, éstos se obligan a “no efectuar trabajos [con la base de datos], cualquiera que fuese la razón, en beneficio de terceros”, puesto que la información está “exclusivamente destinada al uso interno del cliente y por necesidades propias”. Tampoco pueden “utilizar, directa o indirectamente, la información contenida en SABI Informa para la prestación de servicios a terceros o en beneficio de alguna persona o entidad”. Ni pueden “borrar, modificar, desmontar, descompilar, traducir o crear trabajos derivados de SABI Informa sin el consentimiento por escrito de Informa”. Finalmente, como la base de datos incluye información confidencial, los clientes que la contratan “se comprometen a no divulgarla a ninguna persona física o jurídica ajena al objeto del contrato”.
Por tanto, Avalmadrid no sólo mintió a Informa sobre el destino de la extracción de datos, sino que además incumplió el contrato con el suministrador, tratando los datos, algunos de ellos confidenciales, y cediéndoselos a un tercero para un trabajo externo.
El 20 de octubre de 2020, Jorge Morán compareció en la comisión de investigación sobre Avalmadrid. El diputado de Más Madrid Eduardo Gutiérrez le preguntó quién le había autorizado a disponer de los datos de los clientes de la sociedad de garantías o si ese permiso se lo había “concedido a sí mismo”. El ex director general contestó que le había autorizado “la sociedad”, pero no precisó qué persona o cargo concreto. “No le puedo facilitar esa información”, repitió.
infoLibre también ha preguntado a Jorge Morán por los detalles de la cesión de las dos bases de datos. “Tanto para los TFM como para la tesis, incluyendo los estudios de investigación obligatorios o papers, fui autorizado por Avalmadrid con anterioridad a recibir la información, firmando un acuerdo de confidencialidad exclusivo y restrictivo relativo tanto al ámbito académico como de investigación”, explica. Avalmadrid, por su parte, se limita a responder que “todo [respecto a la cesión de las bases de datos] se hizo correctamente, está controlado y claro. No hay ninguna irregularidad de ningún empleado”. Este periódico ha pedido a la sociedad de garantías los acuerdos de confidencialidad mencionados por su ex director general, pero esta se ha negado a mostrarlos o a dar detalles sobre la fecha, la finalidad o los requisitos de esos documentos. “No podemos facilitar información interna”, sostienen.
Jorge Morán subraya que la información fue tratada “siempre en el contexto y bajo las exigencias de la autorización y el acuerdo de confidencialidad” que firmaron todos los que dispusieron de ella. Además, precisa que no recibió “remuneración o contraprestación alguna” por la “tutorización y supervisión de los TFM” de sus alumnos: Creación de un modelo de predicción de default para microempresas y emprendedores y Creación de valor a través de la gestión del riesgo: aproximación a un modelo de scoring. “Tanto los TFM como el paper publicados garantizan en todos sus extremos el cumplimiento de la normativa en materia de protección de datos”, zanja.
Segunda petición de datos, en 2019
La tesis doctoral, que fue admitida en el programa de doctorado de la UNED en septiembre de 2014, también estudia la gestión de riesgos, pero en el sistema financiero español. Pese al tiempo transcurrido, Jorge Morán no la ha terminado. Abandonó Avalmadrid en febrero de 2018 y fichó por Aliseda, la gestora inmobiliaria del Banco Santander, como director corporativo de negocio. En abril del año pasado comenzó en Diglo Servicer, también del Santander, como director de formación y procesos de negocio, y de donde salió hace apenas un mes. En Cunef lleva dando clases 13 años. Morán Cantor es uno de los directivos de Avalmadrid que fueron sancionados en 2020 por el Banco de España. Tuvo que pagar una multa de 15.000 euros por una infración grave: incumplir los requirimientos del organismo supervisor en materia de control interno, de concentración y seguimiento del riesgo.
En abril de 2019, cuando ya trabajaba en Aliseda, pidió a su antigua empresa, Avalmadrid, que le actualizara los datos proporcionados dos años antes. Lo hizo a través del director financiero, Fernando de la Fuente, que es quien se encarga de solicitar la extracción de datos al departamento de informática. Pero en esta ocasión, a diferencia de la anterior, sí se le hizo firmar un acuerdo de confidencialidad, o al menos un recibí de los datos de clientes avalados y de la base SABI entre 2016 y diciembre de 2018. En el documento, al que ha tenido acceso infoLibre, se precisa que la información sólo podrá ser utilizada “con carácter exclusivo” en la investigación de Jorge Morán “en el contexto del doctorado en Economía y Empresa” que cursaba en la UNED. Además, el ex director general se comprometía a entregar a Avalmadrid el resultado de dicha investigación. El recibí está fechado el 9 de abril, pero el acuerdo de confidencialidad aún no está listo un mes después, según el contenido de los correos a los que ha tenido acceso este periódico. Por entonces, la asesora jurídica de Avalmadrid consulta aún con el delegado de protección de datos si pueden cederle los datos a Jorge Morán para su tesis. Este le replica que deben ser seudonimizados. El informático dice que les ha quitado el CIF y el nombre a los autónomos. “Supongo que la fecha de nacimiento sin un nombre o DNI que lo relacione no sería problema”, responde. Tampoco se elimina la fecha de constitución de las empresas.
Las intervenciones de Rosario Rey y Pedro Embid
Entonces también se envía el acuerdo de confidencialidad/recibí a la presidenta de Avalmadrid, Rosario Rey García, para que lo firme. Rey García abandonó la sociedad en agosto de 2019. Desde octubre de ese año figura como socia directora de Control Management Solutions, una consultora financiera especializada en “estrategia, riesgos y gobierno corporativo” de la que es administrador único Jorge Morán. Al menos así aparece en su perfil de Linkedin. Sin embargo, Morán Santor asegura que la sociedad no tiene actividad y que sus únicos accionistas son él y su mujer. También dice que Rosario Rey incluyó esa referencia en Linkedin por "posicionamiento", pero que no ha hecho ningún trabajo en Control Management Solutions. Cuando se le pregunta si fue ella, como presidenta de Avalmadrid, quien le autorizó la cesión de las bases de datos, responde que no lo recuerda, pero que, en todo caso, la decisión correspondía a la Asesoría Jurídica. A través de esa sociedad, Morán Santor pagó en 2017 al profesor Rodrigo Martín 500 euros por su trabajo en el paper para el que ambos utilizaron los datos de Avalmadrid y SABI.
El 16 de mayo de 2019 el asunto aún seguía pendiente. Ese día interviene por primera vez Pedro Embid, el sucesor de Jorge Morán en la dirección general, quien pide a Fernando de la Fuente “la carta o email” donde el anterior solicitaba las bases de datos. El director financiero le contesta que la petición la hizo Morán Santor por Whatsapp. El 22 de mayo, Embid avisa a la asesora jurídica de que uno de los archivos que se van a proporcionar a Jorge Morán “no está innominado”. El día siguiente, el director general autoriza finalmente la cesión de las dos bases de datos “circunscribiéndola al trabajo académico (doctorado)”. Y, una hora más tarde, De la Fuente remite a Jorge Morán un enlace para que descargue la información.
Sin embargo, una semana después, la asesora jurídica tiene que hacer una nueva consulta, que esta vez hace extensiva a un experto de PB-Cap Consultores, especializados en compliance. Le dice que Jorge Morán pide que se le pasen los datos de los autónomos con el CIF y el DNI, tanto de la base de Avalmadrid como de SABI “para poder cruzarlas”. Unos datos que se habían suprimido. El experto descarta el cambio, “salvo que en los documentos que os firman vuestros clientes esté incluida la finalidad de la cesión de los datos”. “Sería una contravención del artículo 6 del Reglamento General de Protección de Datos”, le advierte también el delegado de protección de datos, “a menos que en el consentimiento prestado [por los clientes] constara específicamente la autorización para ese fin, o se pudiera considerar que existe un interés público o legítimo que prevalece sobre el derecho a la privacidad del interesado”.
Y no es así. La asesora jurídica explica al director general, Pedro Embid, que no hay ningún “consentimiento expreso de los clientes para ceder sus datos con una finalidad académica” en las pólizas de afianzamiento que estos firman. Y que no se les puede pedir ahora a todos y cada uno de ellos esa autorización. De forma que, finalmente, es el informático de Avalmadrid quien cruza las dos bases de datos y así se las entregan a Jorge Morán el 31 de mayo de 2019, aún con las fechas de nacimiento de los autónomos y las fechas de constitución de las empresas.
Jorge Morán asegura a infoLibre que, como ha decidido abandonar la tesis, ha destruido los datos que le fueron proporcionados por su antigua empresa.
El director financiero de Avalmadrid, Fernando de la Fuente, también compareció el 20 de octubre de 2020 en la comisión de investigación sobre Avalmadrid. Como a Jorge Morán, el diputado de Más Madrid Eduardo Gutiérrez le preguntó si había “autorizado la cesión de datos personales y confidenciales de clientes de Avalmadrid a alguna tercera persona que no formaba parte de Avalmadrid”. “Nunca”, respondió De la Fuente. Mentir en una comisión parlamentaria está penado con entre seis meses y un año de prisión, le recordó el diputado.
[Con posterioridad a la publicación de esta información, Avalmadrid se ha dirigido a infoLibre para precisar que el director financiero “no mintió en su comparecencia del día 20 de octubre 2020 en la comisión de investigación, cuando a la pregunta del diputado de Más Madrid Eduardo Gutiérrez sobre si había 'autorizado la cesión de datos personales y confidenciales de clientes de Avalmadrid a alguna tercera persona que no formaba parte de Avalmadrid', respondió que 'nunca', dado que él no autorizó, sino que siguió indicaciones de su superior”].
La ley exige un tratamiento transparente de los datos
infoLibre ha consultado a expertos en protección de datos sobre la actuación de Avalmadrid en este caso. El tratamiento de datos, incluidos los “corporativamente relevantes”, debe ser siempre notificado a los clientes. Incluso cruzar los datos, como hizo Avalmadrid, es una forma de tratarlos, explican: “Una empresa no puede disponer de los datos de sus clientes como si fuera su propietaria; lo fundamental es la transparencia, por lo que debe notificarles que los ha cedido o los ha tratado de cualquier manera”. Pero la sociedad de garantías madrileña no comunicó en ningún momento a sus clientes que había proporcionado sus datos a un tercero y que antes los había tratado. La Ley de Protección de Datos de 1999, que estaba vigente en 2017 cuando se hizo la primera cesión, ya establecía que el tratamiento por cuenta de terceros de esa información debe estar regulada en un contrato escrito. Y si ese tercero destina los datos a otra finalidad, los comunica o los utiliza incumpliendo las estipulaciones del contrato, comete una infracción.
Además, las empresas deben asegurarse de que han seguido todos los protocolos éticos “sin generar riesgos”. Porque la anonimización o seudonimización debe ser “robusta y confiable”. Y no siempre es así. Desde 2014 existe un código de buenas prácticas, elaborado por un grupo de trabajo de la Unión Europea, para reducir los riesgos de identificación que se producen al anonimizar y seudonimizar datos confidenciales. Por ejemplo, dejar la fecha de nacimiento, como hizo Avalmadrid, y reemplazar un nombre real por un seudónimo puede ser insuficiente para proteger la identidad de la persona que se pretende anonimizar. “La solución óptima debe adoptarse caso por caso”, recomienda ese dictamen.
Por otra parte, el Reglamento de la UE de 2016 restringe el tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos. Ese tratamiento debe tener en cuenta, entre otras cosas, “las expectativas razonables del interesado”, así como “la naturaleza de los datos personales, las consecuencias para los interesados del tratamiento ulterior y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista”.
El Banco de España multa a Avalmadrid con 95.000 euros por incumplir un requerimiento para reducir riesgos
Ver más
La norma comunitaria, que exige siempre un “tratamiento leal y transparente” de los datos, amplía las cautelas si una empresa pretende tratarlos para un fin que no sea aquel para el que los recogió: debe proporcionar al interesado, “antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria”. Y esa información debe darse “en el momento en que se obtengan” los datos y antes de que se sometan a ese segundo tratamiento. Como queda dicho más arriba, la asesora jurídica de Avalmadrid reconoció que a sus clientes, en las pólizas, no se les había pedido autorización para un fin como el que dio a sus datos el director general. Tampoco se les informó cuando se cruzaron y cedieron a un tercero.
El reglamento es claro: el consentimiento del propietario de esa información, que debe darse “mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal”, debe cubrir todas las actividades de tratamiento cuando este tenga varios fines.
En definitiva, todas estas cautelas les fueron hurtadas a los clientes de Avalmadrid cuando cedieron sus datos.