La suplantación de identidad en la contratación on-line no excluye per se una posible infracción en materia de protección de datos.
La reciente Sentencia de fecha 13 de diciembre de 2021 dictada por el Tribunal Supremo, Sala de lo Contencioso, confirma la imposición de una sanción por importe total de 80.000 euros a una entidad de crédito, impuesta por la Agencia Española de Protección de Datos (AEPD), por vulneración de la normativa de protección de datos en un supuesto de suplantación fraudulenta de identidad en la contratación on-line de un microcrédito.
En el caso sometido a casación, el interesado denunció ante la AEPD que la entidad de crédito había tratado sus datos personales sin su consentimiento vinculado a un contrato celebrado por un tercero que suplantó su identidad, comunicando posteriormente una deuda que no le pertenecía al fichero ASNEF.
La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos infracciones graves de la Ley de Protección de Datos, la primera relativa a no recabar el consentimiento del interesado, y la segunda, por vulnerar la exigencia de exactitud y veracidad de los datos. El criterio sostenido por la AEPD, seguido posteriormente por la Audiencia Nacional, fue que, en el marco del tratamiento de los datos personales del denunciante, la entidad no adoptó las medidas necesarias al objeto de comprobar, con carácter previo a la contratación, la identidad de la persona que contrataba y para garantizar que quien facilitaba los datos como suyos (DNI, número de teléfono, cuenta bancaria) era su verdadero titular.
Tras un minucioso análisis del mecanismo de verificación de identidad que tenía implantado la entidad de crédito se constata que ninguna de las medidas estaba destinada a acreditar que la persona que solicita el microcrédito coincidía con el titular del DNI aportado. En realidad, tras la práctica de la prueba se puso de manifiesto que los datos del titular de la línea de teléfono y de la cuenta bancaria que fueron facilitados por dicho tercero en el proceso de contratación no coincidían con los datos personales del denunciante.
Con base en lo anterior, el Alto Tribunal declara que la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on-line, no excluye que la entidad contratante haya podido incurrir en infracción por falta del necesario consentimiento que exige la normativa de protección de datos, “pues aquella intervención fraudulenta de un tercero no implica por sí misma que la empresa contratante haya actuado con diligencia suficiente”. A vueltas con dicha diligencia suficiente, el Tribunal concluye que el cumplimiento de las obligaciones en materia de protección de datos de carácter personal requiere, en todo caso, la implantación de medidas de control y verificación que permitan comprobar que la persona que pretende contratar coincida con la persona titular del DNI aportado.