Condena a una empresa por conceder un microcrédito online en una suplantación de identidad

TIEMPO DE LECTURA:

El TS confirma la sanción impuesta por la AEPD a una empresa que concedió un microcrédito online a una persona que suplantó la identidad de un tercero.

  • Materias: Administrativo
  • Fecha: 17/01/2022

compras internet

 

El Poder Judicial nos informa de la confirmación por parte de la Sección Tercera de la Sala de lo Contencioso de una sanción de 80.000 euros que impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, al conceder un microcrédito online a una persona que aportó en la solicitud del crédito el DNI de otra persona. El dinero del crédito no se devolvió y Dineo incluyó al titular del DNI suplantado en una lista de morosos. La Sala rechaza el recurso de casación de la empresa y confirma la sentencia de la Audiencia Nacional que confirmó la sanción. 

El hombre cuyo DNI fue suplantado denunció ante la Agencia de Protección de datos que Dineo trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en un fichero de morosos. 

La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos infracciones graves de la  LOPDGDD  por tratar datos personales sin recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito. 

La empresa no actuó con la diligencia necesaria 

En su sentencia, el tribunal explica que comparte el criterio de la Audiencia Nacional sobre la insuficiencia de las medidas que aplicó la empresa en el procedimiento de contratación online del microcrédito, en tanto que «se desentienden enteramente del objetivo de verificar la veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser».

La sentencia de la Audiencia Nacional explicaba que en el proceso de contratación la plataforma de la empresa exigía determinados datos, como el número del DNI, dos teléfonos y el correo electrónico. Unos datos que se ignora si son del cliente que los facilita como suyos o si son de otras personas. 

En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida «únicamente demuestra a la entidad que ”alguien” es titular de ese DNI, por cuanto le confirma que es un número de documento que existe».

La sentencia aprecia que de este modo, «en cualquier caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una compra o solicitar un crédito online, siempre se consumaría el tratamiento inconsentido de los datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas anunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca».

Por último, el tribunal señala que lo anterior no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es el uso fraudulento de un DNI por parte de quien no es su titular, «Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda  reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal- tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos- la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado».

Protección de datos
Datos personales
Morosidad
Suplantación de identidad
Consentimiento del interesado
Incumplimiento de las obligaciones
Documentos relacionados
Ver más documentos relacionados
  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 22/07/2021

    Las infracciones se recogen de manera sucinta en el artículo 83 del RGPD y, de un modo más específico, en los artículos 71 a 74 de la LOPDGDD.Conductas infractoras en materia de protección de datosComo recoge el artículo 71 de la LOPDGDD, const...

  • Publicación de datos en el tablón de la comunidad de propietarios

    Orden: Administrativo Fecha última revisión: 08/07/2021

    El artículo 5 del RGPD indica los principios relativos al tratamiento de datos; y respecto a este tratamiento, cuando hablamos de publicación de datos de vecinos morosos o comunicación de datos del personal laboral al servicio de la comunidad (po...

  • Protección de datos en la documentación de la comunidad de propietarios

    Orden: Administrativo Fecha última revisión: 08/07/2021

    La AEPD en su Guía sectorial «Protección de Datos y Administración de Fincas» determina que la propia LPH habilita diversas comunicaciones de datos personales que a efectos del RGPD se encontrarían legitimadas en base al cumplimiento de una o...

  • Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 31/05/2021

    La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...

  • Protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 21/05/2021

    La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que h...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados