Suplantación de identidad y protección de datos

Fuente de la imagen: mvc archivo propio

(mvc, Málaga, España). Informa el Consejo General del Poder Judicial español (CGPJ), de la confirmación por parte del Tribunal Supremo (TS)[1], de la sanción de 80.000 euros que impuso la Agencia de Protección de datos (AEPD) a una entidad financiera por vulnerar la Ley de Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud del crédito el DNI de otra persona. El dinero del crédito no se devolvió y la entidad financiera incluyó al titular del DNI suplantado en una lista de morosos[2]. La persona cuyo DNI fue suplantado denunció ante la AEPD que la entidad financiera trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en un fichero de morosos. La AEPD concluyó que la empresa denunciada había incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef[3].

El TS entiende que la entidad financiera no actuó con la diligencia necesaria, compartiendo el criterio de la Audiencia Nacional (AN) sobre la insuficiencia de las medidas que la entidad financiera aplicó en el procedimiento de contratación online del microcrédito, en tanto que “se desentienden enteramente del objetivo de verificar la veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser”. Parece que en el proceso de contratación la plataforma de la empresa exigía determinados datos, como el número del DNI[4], dos teléfonos y el correo electrónico. Unos datos que se ignora si son del cliente que los facilita como suyos o si son de otras personas[5]. Para que no se le pueda reprochar a la entidad financiera el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal[6], el TS resalta la exigibilidad de “implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado”. Fuente de la información: CGPJ, TS y AEPD. Fuente de la imagen: mvc archivo propio.

_________________________

[1] Sección Tercera de la Sala de lo Contencioso.

[2] La Sala rechaza el recurso de casación de la empresa y confirma la sentencia de la Audiencia Nacional que confirmó la sanción.

[3] Así, el nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

[4] En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida “únicamente demuestra a la entidad que” alguien” es titular de ese DNI, por cuanto le confirma que es un número de documento que existe”.

[5] La sentencia aprecia que “ en cualquier caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una compra o solicitar un crédito online, siempre se consumaría el tratamiento inconsentido de los datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas anunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca”.

[6] Tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos.