Protección de Datos – Confirmada la sanción a una empresa que dio un microcrédito a una persona que suplantó una identidad

La empresa denunciada incurrió en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos.

La sección tercera de la sala de lo contencioso del Tribunal Supremo ha confirmado una sanción de 80.000 euros que impuso la Agencia de Protección de Datos a una empresa que concedió un microcrédito ‘online’ a una persona que suplantó la identidad de otra.

En concreto, la Agencia de Protección de Datos impuso la sanción a la empresa Dineo Crédito S.L. por vulnerar la Ley de Protección de datos, ya que la persona que solicitó el microcrédito aportó el Documento Nacional de Identidad (DNI) de otra persona.

Finalmente, el dinero del crédito no se devolvió y Dineo incluyó al titular del DNI suplantado en una lita de morosos. El hombre cuya identidad fue suplantada denunció la situación ante la Agencia de Protección de Datos, ya que entendía que Dineo trató sus datos personales sin su consentimiento.

La Agencia de Protección de Datos concluyó que Dineo, la empresa denunciada, había incurrido en dos infracciones graves de la Ley de Protección de Datos por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef.

Así, el nombre del denunciante figuraba en la lista de morosos asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.

Ahora, el Tribunal Supremo ha rechazado el recurso de casación de la empresa y ha confirmado la sentencia de la Audiencia Nacional que también confirmó, a su vez, la sanción de 80.000 euros impuesta por la Agencia de Protección de Datos.

En su sentencia, el Supremo explica que comparte el criterio de la Audiencia Nacional sobre la insuficiencia de las medidas que aplicó Dineo en el procedimiento de contratación ‘online’ del microcrédito, en tanto que «se desentienden enteramente del objetivo de verificar la veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser».

La sentencia de la Audiencia Nacional explicaba que, en el proceso de contratación la plataforma de la empresa, se exigía determinados datos, como el número del DNI, dos teléfonos y el correo electrónico. Unos datos que «se ignora si son del cliente que los facilita como suyos o si son de otras personas».

En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida «únicamente demuestra» a la entidad que «alguien es titular de ese DNI, por cuanto le confirma que es un número de documento que existe».

Asimismo, la sentencia del Supremo aprecia que de este modo, «en cualquier caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una compra o solicitar un crédito ‘online’, siempre se consumaría el tratamiento inconsentido de los datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas enunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca».

Por último, el TS señala que lo anterior no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es el uso fraudulento de un DNI por parte de quien no es su titular.

«Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal –tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos– la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado», concluye.

 

Fuente: https://www.expansion.com/juridico/sentencias/2022/01/14/61e1a8a3e5fdea63598b463b.html

Facebook
Twitter
LinkedIn
Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.