Es sancionable por falta de diligencia la conducta de una empresa que incluye a una persona en el fichero de morosos por impago de un microcrédito concedido, que resultó ser un caso de suplantación de identidad por un tercero, según establece el Tribunal Supremo, en sentencia de 13 de diciembre de 2022.
Determina el ponente, el magistrado Calvo Rojas, que la identidad de otra persona no excluye la infracción de la empresa por falta de consentimiento inequívoco para el tratamiento de datos personales que exige la Ley de Protección de Datos, porque la intervención fraudulenta de un tercero no implica que la empresa contratante haya actuado con diligencia.
Calvo Rojas explica que el tribunal comparte el criterio de la Audiencia Nacional sobre la insuficiencia de las medidas que aplicó la empresa en el procedimiento de contratación online del microcrédito, en tanto que "se desentienden enteramente del objetivo de verificar la veracidad y la exactitud de los datos, y , en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser".
Así, concluye que "ninguna de las medidas enunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca".
La sentencia de la Audiencia Nacional explicaba que en el proceso de contratación la plataforma de la empresa exigía determinados datos, como el número del DNI, dos teléfonos y el correo electrónico. Unos datos que se ignora si son del cliente que los facilita como suyos o si son de otras personas.
Un algoritmo poco eficiente
En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida " únicamente demuestra a la entidad que " alguien" es titular de ese DNI, por cuanto le confirma que es un número de documento que existe".
Estima la Sala de lo Contencioso-Administrativo que estas consideraciones no hacen recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito como es el uso fraudulento de un DNI por parte de quien no es titular.
Sin embargo, si que determina que "sí es exigible a la empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal- tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos- la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado".
La sentencia confirma la sanción de 80.000 euros impuesta por la Agencia de Protección de Datos (AEPD) al incluir al titular del DNI suplantado en una lista de morosos.
La Sala rechaza el recurso de casación de la empresa y confirma la sentencia de la Audiencia Nacional que confirmó la sanción.
El hombre cuyo DNI fue suplantado denunció ante la AGPD el tratamiento de sus datos personales sin su consentimiento. Ësta concluyó que la empresa habría incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos.
Relacionados
- Europa impone más obligaciones de ciberseguridad a las empresas
- La auditoría externa ya incluye la ciberseguridad como riesgo inversor
- Protección de Datos constata un aumento de los ciberataques y alerta del ransomware
- El TJUE multa a España con 15 millones de euros por el retraso en la transposición de la Directiva de Protección de Datos
