Acerca de operadores lógicos
Última revisión
09/02/2023
Resolución de la Agencia Española de Protección de Datos PS-00156-2017 de 24 de octubre de 2018
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 65 min
Órgano: Agencia Española de Protección de Datos
Fecha: 24/10/2018
Num. Resolución: PS-00156-2017
Cuestión
Sector:1 / 23
Procedimiento Nº PS/00156/2017
RESOLUCIÓN: R/03386/2017
En el procedimiento sancionador PS/00156/2017, instruido por la Agencia
Española de Protección de Datos a la entidad DINEO CREDITO, S.L. , vista la
denuncia presentada...
Contestacion
1/23
Procedimiento Nº PS/00156/2017
RESOLUCIÓN: R/03386/2017
En el procedimiento sancionador PS/00156/2017, instruido por la Agencia
Española de Protección de Datos a la entidad DINEO CREDITO, S.L., vista la
denuncia presentada por D. A.A.A. y en consideración a los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 13/07/2016 tiene entrada en la Agencia Española de Protección
de Datos (AEPD) un escrito de D. A.A.A. (en lo sucesivo, el denunciante), en el que
expone que DINEO CRÉDITO, S.L., (en adelante DINEO o la denunciada) ha tratado
su datos personales sin su consentimiento vinculados a la contratación de un
microcrédito y los ha incluido en el fichero de solvencia patrimonial ASNEF asociados
a una deuda derivada del citado contrato, al que él es ajeno.
El denunciante manifiesta que ha sido víctima de varias suplantaciones de
personalidad relacionadas con la contratación de microcréditos a su nombre con
distintas empresas del sector. Aporta, entre otros, los documentos siguientes:
- Copia de la denuncia presentada en la Comisaría de Policía el 19/04/2016
(Atestado nº X.X.X.1/16) en la que declaró que había recibido en el domicilio de calle
(C/...1) ?requerimientos de empresas de cobros de deudas, en las que le reclaman un
total de 1719, 44 euros? - Wonga, Vivus Finance, Twinero S.L. (antes VIA SMS
Minicredits) y DINEO-. ?Que ?el importe reclamado parece estar relacionado con
microcréditos tramitados a través de varias compañías? y que ?en ningún momento ha
realizado ninguna operación parecida?. Añade que no ha extraviado su documentación
pero sí ha enviado su curriculum vitae a varias empresas al encontrarse desempleado.
- Copia de la denuncia de 06/06/2016 ?ampliatoria del Atestado nº
X.X.X.1/16-, en la que pone en conocimiento de la Policía que ha recibido dos avisos
más en los que dos empresas le solicitan la devolución de cantidades de dinero
derivadas de préstamos personales que él no ha contratado y que fueron celebrados
utilizando sus datos de identidad.
- Carta de Asnef Equifax, Servicios de Información sobre Solvencia Patrimonial
y Crédito, S.L., de fecha 16/04/2016, referenciada e individualizada a su nombre,
dirigida a la dirección de calle (C/...1), a través de la que le notifican su inclusión en el
fichero ASNEF informada por DINEO por una deuda de 161,40 euros con fecha de alta
15/04/2016.
- Copia de la carta certificada, con acuse de recibo, enviada por el denunciante
a DINEO el 25/04/2016 en la que solicita a esa entidad que remita a la Policía
Nacional y a TAECO ABOGADOS toda la información que tengan sobre el préstamo y
con la que anexa copia de la denuncia que presentó en la Policía y de un escrito
ejerciendo el derecho de cancelación de sus datos personales.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/23
- Documento con el anagrama de EQUIFAX en el que consta que a fecha
05/05/2016 no existen en el fichero ASNEF datos asociados a su NIF.
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, por
los Servicios de Inspección de esta Agencia se solicitó información a DINEO, teniendo
conocimiento de los siguientes extremos:
La empresa DINEO CREDITO S.L. en su escrito de fecha de registro
12/01/2017 (número de registro 010726/2017) ha remitido la siguiente información
pertinente a los efectos de la investigación:
? Contrato de préstamo suscrito con fecha 18/02/2016 entre el denunciante y la
entidad denunciada que según manifiesta sería el origen de la deuda inscrita
en el fichero de solvencia. El contrato se encuentra aceptado telemáticamente
por el denunciante A.A.A. el 18/02/2016 en www.dineo.es desde la ***IP.1 y
firmado por la entidad proveedora del servicio. En el mismo figura como
dirección de contacto del denunciante (C/...1) (MADRID).
? Aporta copia de las condiciones generales del préstamo contratado y
manifiesta que ?Al ser un proceso telemático DINEO CREDITO no conserva
documentación aportada por el cliente?. Asimismo, el trámite ha sido llevado a
cabo a través de la web www.dineo.es con la I.P registrada núm. ***IP.1.
Según se expone en la web de esta empresa el procedimiento para otorgar los
créditos consiste: ?simplemente con que verifiques tu identidad a través de DNI,
cuenta bancaria o a través de tu banca online es suficiente?.
En su escrito de respuesta a la solicitud de información manifiesta que
?durante el proceso de solicitud realiza una serie de validaciones tales como
comprobaciones a través del DNI y apellidos en ficheros de morosidad, validación del
teléfono móvil, validación de la cuenta bancaria y de la tarjeta de crédito aportada así
como estudio y proceso de validación dónde un algoritmo de procesamiento en base a
los parámetros que incluye el cliente dan como positiva o no dicha solicitud?.
? Copia impresa de los datos que figuran en sus sistemas relativos al
denunciante. Entre los mismos consta como dirección del denunciante (C/...1)
(MADRID). Esta dirección no coincide con la facilitada por el denunciante a la
agencia, pero sí coincide con la que figura en su DNI.
? En su escrito de respuesta a la solicitud de información expone que DINEO
CREDITO S.L. ha contratado a EQUIFAX IBÉRICA S.L. para la realización de
los requerimientos de pago efectuados a sus clientes.
? Copia del contrato, suscrito a fecha 01/03/2015 entre DINEO CREDITO S.L. y
EQUIFAX IBÉRICA S.L., que regula la prestación del servicio de envío y
gestión de la devoluciones de los requerimientos de pago emitidos por DINEO
CREDITO S.L.
? Copia de la carta, de número de referencia ***NT.1 y fechada a 04/04/2016,
que remite la entidad denunciada al denunciante a la dirección (C/...1)
(MADRID). En la que se reclama el pago de la deuda contraída por importe de
161,40 euros y se advierte de que sus datos podrían incluirse en ficheros de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/23
solvencia patrimonial y de crédito de mantenerse la situación de impago en el
plazo de 7 días.
? Copia del certificado expedido por SERVINFORM, S.A. que acredita la
generación, impresión y puesta en el servicio de envíos postales de la carta de
requerimiento de pago con el número de referencia ***NT.1 dirigida al
denunciante a la dirección (C/...1) (MADRID). Certifica que con fecha
05/04/2016 se puso a disposición del servicio de envíos postales para su
posterior distribución por parte de dicho servicio en el albarán número 7709
con un total de 379 comunicaciones.
? Copia del documento acreditativo del gestor postal CORREOS con número de
referencia ***REF.1 en el que figura la remisión de 379 cartas con fecha
05/04/2016 en nombre de EQUIFAX IBERICA S.L sin individualizar una
referencia a la carta al denunciante y validado por el gestor postal.
? Copia del certificado expedido por EQUIFAX IBERICA S.L a fecha 10/01/2017
que acredita que no consta que el requerimiento previo de pago de referencia
***NT.1 dirigido al denunciante a la dirección (C/...1) (MADRID), haya sido
devuelto.
? Copia del historial de comunicaciones emitidas por DINEO CREDITO S.L. vía
SMS al denunciante en el que consta a fecha 11/03/2016 que la entidad
informa al denunciante sobre el retraso en el pago de la deuda de 10 días y le
recomienda ?que evite la inclusión en ASNEF?.
? Copia del certificado emitido por DINEO CRÉDITO, S.L. con fecha 10/01/2017
en el que señala que la cantidad pendiente de pago correspondiente al
préstamo es de 190,45 euros.>>
TERCERO: Con fecha 07/07/2017 la Directora de la Agencia Española de Protección
de Datos acordó iniciar procedimiento sancionador a DINEO CREDITO S.L., por
presunta infracción de los artículos 6.1 y 4.3, en relación con el 29.4, de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal
(en lo sucesivo LOPD), tipificadas ambas como infracciones graves en los artículos
44.3.b) y 44.3.c) de dicha norma, pudiendo ser sancionada cada una con multa de
40.001 a 300.000 euros, de acuerdo con el artículo 45.2 de la citada Ley Orgánica.
CUARTO: Notificado el acuerdo de inicio, DINEO, mediante escrito de fecha
25/07/2017, que tuvo entrada en el Registro de la AEPD el 31/07/2017, formuló
alegaciones en las que solicitó que se proceda a la suspensión del expediente
administrativo sancionador ?en tanto en cuanto los hechos que dan lugar a la
propuesta de sanción están siendo sustanciados en las Diligencias Previas
1013/2016, del Juzgado de Instrucción nºX.1 de ***LOCDAD.1?. Alega en defensa de
su pretensión los argumentos siguientes:
- Que el 18/02/2016 recibió una solicitud de micro préstamo por un importe de
100 euros a nombre del denunciante que fue aceptada por la entidad tras
haber cumplido los trámites de verificación de la identidad del cliente que tiene
implantados y haber aceptado el contratante las condiciones generales de
contratación.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/23
- Que tuvo constancia de los hechos que motivan la apertura de este expediente
sancionador cuando recibió una carta remitida del denunciante del 25/04/2016,
procediendo de inmediato a adoptar las medidas para poner fin al tratamiento
de sus datos. Añade que el 05/07/2016 recibe un requerimiento informativo de
la Guardia Civil referente a estos mismos hechos.
- Invoca la existencia de una cuestión prejudicial penal y, por consiguiente,
solicita la suspensión del procedimiento administrativo que nos ocupa hasta
tanto no sea firme la Sentencia que dicte el órgano competente del orden
jurisdiccional penal, habida cuenta de que no puede valorarse la continuidad
del procedimiento sancionador mientras no sea resuelto el procedimiento penal
en curso. En apoyo de tal pretensión cita:
a El artículo 10 de la Ley Orgánica 6/1985 del Poder Judicial (en
adelante LOPJ) a tenor del cual el planteamiento de una cuestión
prejudicial penal ante órganos de otro orden jurisdiccional de cuya
resolución no pueda prescindirse o que condicione directamente la
decisión que deba dictar, determinará la suspensión del
procedimiento que se esté tramitando hasta que sea firme la
resolución del órgano competente del orden penal.
b La prohibición del ?non bis in ídem?, con fundamento en el artículo 25
de la Constitución. Trae a colación la STS, Sala Tercera (rec.
1287/2015) en la que, conforme al criterio del Tribunal Constitucional,
afirma que ?la prohibición del non bis in ídem conduce a la
imposibilidad de que se aprecien los mismos hechos de forma
independiente cuando el ordenamiento permite una dualidad de
procedimientos, porque es claro que unos mismos hechos no
pueden existir y al mismo tiempo dejar de existir para diferentes
órganos del Estado?.
- Detalla las medidas que afirma tener implantadas y que, dice textualmente,
?garantizan la correcta identificación de la persona que efectúa la contratación?.
Medidas que son las siguientes:
a) La primera, el ?registro en la plataforma?, lo que implica la aportación de
determinados datos e incluye el número de DNI, país de nacimiento, dos
teléfonos y correo electrónico. b) Validación del DNI mediante un algoritmo
que permite determinar si el DNI facilitado por el cliente se corresponde o no
con un DNI válido. c) Validación del número de móvil a través de un pin,
para lo que se remite al citado teléfono un código de cuatro cifras que ha de
ser incluido en el formulario al que se accede desde la plataforma on line. d)
Validación de datos bancarios, que consiste en verificar si la cuenta
bancaria ?es real?. Respecto a la tarjeta de crédito se verifica si es válida y si
está asociada a la entidad bancaria. Declara que a efectos de comprobar la
viabilidad de la tarjeta bancaria se carga en ella un céntimo que
automáticamente es reintegrado. f) Si todos los cheks anteriores se pasan
correctamente se procede a la contratación. Afirma que el protocolo es
correcto y en tal sentido la AEPD se ha pronunciado en las resoluciones
dictadas en el PS/630/2016 y E/4203/2016 que se archivaron.
- Anexa a las alegaciones al acuerdo de inicio dos documentos dignos de
reseñar: Uno de ellos, la respuesta al oficio de la Guardia Civil y el otro
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/23
impresiones de pantalla de sus registros con los datos personales del afectado.
En los escritos constan los datos personales ?nombre y dos apellidos, DNI, dos
números de teléfono, uno fijo y otro móvil, una dirección postal, nacionalidad y
fecha de nacimiento-; una cuenta bancaria perteneciente a la entidad ***ENT.1;
la fecha de solicitud del micro crédito; el importe del préstamo y plazo de
devolución; lugar a través del que se hizo la solicitud (especifica que es
www.dineo.es.) y la IP registrada ***IP.1. No consta, sin embargo, ningún
número identificativo de una tarjeta de débito. (Folios 123 a 126)
- Sobre el elemento de la culpabilidad aduce que no ha existido dolo en su
actuación y pasa seguidamente a citar sentencias del TS y del TC que
rechazan en el ámbito administrativo sancionador la exigencia de
responsabilidad objetiva.
- En relación a las circunstancias agravantes afirma que ha implantado los
?procedimientos internos? oportunos para garantizar que ante cualquier
sospecha sobre la veracidad de los datos tratados se cumpla estrictamente la
normativa de protección de datos.
- Destaca también que ha procedido al bloqueo de los datos personales del
afectado una vez tuvo conocimiento de los hechos a través de la carta remitida
por el denunciante, en la que constaba la existencia de una denuncia ante la
Policía. De inmediato procedió no sólo a la baja de los datos personales de los
ficheros de solvencia sino que, afirma, bloqueó los datos de manera inmediata
quedando únicamente a disposición de los Jueces y Tribunales y de la
Administración Pública para la atención de posibles responsabilidades nacidas
del tratamiento y durante los plazos de prescripción de éstas. Insiste en que
tras la reclamación del denunciante el único tratamiento de datos que ha
efectuado ha sido para atender al Oficio de la Guardia Civil, el 05/07/2016, para
responder a los requerimientos informativos de la AEPD y para formular las
presentes alegaciones. Concluye que no consta la existencia de un tratamiento
adicional de los datos del denunciante efectuado por DINEO después de que
pusiera en su conocimiento la existencia de una controversia en relación a la
contratación del microcrédito.
- Por lo que respecta a la agravante de reincidencia que la AEPD apreció en el
acuerdo de inicio del expediente respecto a la infracción del artículo 4.3 LOPD,
indica, a propósito del procedimiento sancionador PS/00348/2016, que ese
procedimiento ?finalizó el 4 de noviembre de 2016, fecha posterior a la
producción de los hechos objeto de análisis en el presente procedimiento. Es
por ello, que los hechos que le son imputados a DINEO habían ocurrido con
carácter previo a la imposición de dicha infracción, no siendo posible la
adopción de medidas correctoras que, en su caso, pudieran haberse
considerado?.
- DINEO muestra su total disposición a colaborar lealmente con la AEPD.
QUINTO: Con fecha 31/10/2017, de conformidad con lo previsto en el artículo 77 de la
Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas (LPACAP) se abrió un período de práctica de pruebas en el
que se acordó incorporar al procedimiento, a efectos probatorios, la denuncia
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/23
presentada por D. A.A.A. y documentos anexos; la documentación recabada durante
las actuaciones previas de inspección, practicadas en el E/5003/2016, y el Informe de
Actuaciones Previas de Inspección. Documentos todos ellos que integran el
E/5003/2016.
Asimismo, se dieron por reproducidas a efectos probatorios las alegaciones al
acuerdo de inicio del procedimiento PS/00156/2017 presentadas por DINEO CREDITO
S.L. y la documentación adjunta.
Por la instructora del expediente se solicitaron pruebas a las siguientes
entidades:
A Equifax Ibérica, S.L., que respondió en escrito de 10/11/2017. La
documentación aportada constata que en el fichero FOTOCLI, auxiliar de
ASNEF, existió una incidencia asociada al NIF, nombre y apellidos del
denunciante, informada por DINEO. La fecha de alta de la inclusión fue el
15/04/2016 y se dio de baja el 04/05/2016.
B ORANGE ESPAGNE, S.A.U., en respuesta a la información acerca del
titular del número de móvil ***TELF.1 en fecha 18/02/2016, respondió que
era D. B.B.B. cuyo NIF finaliza en los dígitos ?XX.1? y tiene asignada la
letra Z.
C BANKIA, S.A., ha informado de que desde el 18/02/2016 hasta su
cancelación el 07/07/2016, el titular de la cuenta ***CUENTA.1 era D.ª
C.C.C., cuyo NIF finalizaba en los dígitos ?XX.2? y tenía asignada la letra B.
SEXTO: Con fecha 24/11/2017 se notificó a la denunciada la Propuesta de resolución,
que consta recibida por la entidad el 25/11/2017, formulada en los siguientes términos:
Datos se sancione a DINEO CRÉDITO, S.L., con multa de 60.000 euros ( sesenta mil
euros) por la infracción del artículo 6.1 de la LOPD, tipificada como infracción grave
en el artículo 44.3.b) de dicha norma.
SEGUNDO: Que por la Directora de la Agencia Española de Protección de
Datos se sancione a DINEO CRÉDITO, S.L., con multa de 20.000 euros (veinte mil
euros) por la infracción del artículo 4.3, en relación con el 29.4 de la LOPD, y en
relación con el 38.1.a) del RLOPD, tipificada como infracción grave en el artículo
44.3.c) de dicha norma.>>
SÉPTIMO: Con fecha de entrada en esta Agencia el 12/12/2017, DINEO presentó
alegaciones a la citada Propuesta de resolución en la que solicitó que se procediera al
archivo definitivo del expediente sancionador toda vez que, afirma, ha obrado
diligentemente respetando la normativa de protección de datos. Solicita la suspensión
del procedimiento hasta tanto no exista un pronunciamiento del Juzgado de Instrucción
en relación con las Diligencias Previas que por estos hechos se están sustanciando.
- Manifiesta que conoce los hechos denunciados cuando recibe una carta
certificada del denunciante el 25/04/2016 y que supo que existía una
investigación de la Guardia Civil abierta el 05/07/2016, con su requerimiento
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/23
informativo.
- Solicita la suspensión del procedimiento administrativo por cuanto existe una
cuestión prejudicial penal. Expone que el Atestado X.X.X.1/16 dio lugar a las
Diligencias Previas X.X.X.2/16, sustanciadas ante el Juzgado de Instrucción
número X.1 de ***LOCALIDAD.2, que se inhibió a favor del Juzgado de
Instrucción número X.2 de ***LOCALIDAD.1 (D.P. 1013/2016). Añade que el
procedimiento sigue actualmente su curso sin que se haya dictado sentencia
judicial firme. No aporta ningún documento que confirme sus manifestaciones
- Considera que procede la suspensión del procedimiento administrativo ?toda
vez que los hechos que traen causa al presente expediente sancionador son
los mismos que constituyen el objeto del procedimiento penal referenciado.
Aspectos que de ser ignorados por esta Agencia podrían incidir en una
indefensión de mi representada y una vulneración de la citada normativa?.
Añade que en las Diligencias Previas que se sustancian ante el Juzgado de
Instrucción ?se tratan hechos determinantes en el presente procedimiento -si
el ahora denunciante fue o no víctima de un delito de usurpación y estafa, lo
que está directamente relacionado con la veracidad de los datos (4.3 LOPD) y
el consentimiento inequívoco (6.1 LOPD) ? que exigen la suspensión de este
expediente sancionador (ex art. 10.2. LOPJ) toda vez que resultarán
vinculantes los hechos que se declaren probados por resolución judicial penal
firme, para el presente procedimiento sancionador (ex. 77.4 LPACAP).
- Estima que ha cumplido sus obligaciones legales ( ex LOPD) y que obró a tal
fin con la diligencia que era procedente. Esta afirmación le lleva a considerar
aplicables al presente caso numerosas resoluciones judiciales y de la AEPD
en las que, pese a haber existido un tratamiento de datos del afectado sin su
consentimiento, en la medida en la que el responsable del fichero obró con la
diligencia que era procedente, su conducta no dio lugar a responsabilidad
administrativa sancionadora.
- Expone que el principio de culpabilidad tiene rango constitucional y que está
proscrita la exigencia de responsabilidad objetiva.
- Rechaza el criterio adoptado por la AEPD en la determinación de las
circunstancias agravantes de responsabilidad.
- La documentación que anexa había sido aportada anteriormente con el escrito
de alegaciones al acuerdo de inicio.
De las actuaciones practicadas en el presente procedimiento han quedado
acreditados los siguientes,
HECHOS PROBADOS
PRIMERO: A.A.A., con NIF ***NIF.1 (folio 5), cuyo domicilio, según el documento
nacional de identidad aportado, radica en (C/...1), manifiesta que DINEO ha tratado
sus datos personales sin su consentimiento vinculados a un contrato celebrado por un
tercero a su nombre y los ha comunicado, asociados a una deuda que no le pertenece,
al fichero ASNEF (folio 1)
SEGUNDO: Obra en el expediente la copia de la denuncia presentada en la Comisaría
de Policía el 19/04/2016 (Atestado X.X.X.1/2017) en la que el ahora denunciante
declaró que había recibido en el domicilio de calle (C/...1), requerimientos de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/23
empresas de cobro de deudas reclamándole un total de 1.719,44 euros, procedente de
microcréditos solicitados a través de diversas compañías; que en ningún momento
había realizado ninguna de esas operaciones; que no había extraviado su
documentación pero sí había enviado su C.V. a varias empresas por encontrarse en
situación de desempleo (folio 6)
TERCERO: DINEO ha facilitado una impresión de pantalla de sus registros en la que
constan los datos facilitados con ocasión de la contratación de un micro crédito,
(préstamo ***PREST.1), el 18/02/2016, a nombre del denunciante (folios 46 y 47)
En el apartado ?Información del solicitante? figura el nombre, dos apellidos, y
NIF del denunciante, el mismo domicilio que aparece en el DNI cuya copia ha aportado
a la AEPD y su fecha de nacimiento. Figura también una dirección IP ( ***IP.1);
información sobre la situación laboral del contratante; sobre su estado civil; el importe
de sus ingresos netos y la dirección electrónica ***EMAIL.1. Además, los siguientes
datos de los cuales no es titular el denunciante: Los veinte dígitos de una cuenta
bancaria (***CUENTA.1) y un único número de teléfono, el móvil ***TELF.1. No hay
ninguna mención a una tarjeta de débito del contratante.
CUARTO: DINEO manifestó en su respuesta al requerimiento informativo de la
Inspección de Datos que la contratación del micro préstamo a nombre del denunciante
se hizo telemáticamente a través de la web www.dineo.es con la IP ***IP.1. (Folio 43)
QUINTO: DINEO, en respuesta a la petición de la Inspección de Datos para que, en el
caso de que la contratación se hubiera celebrado por internet, acreditara
documentalmente la ?validación realizada sobre la identidad del contratante? (folio 31)
manifestó:
La contratación del micro préstamo a nombre del denunciante se celebró tras un
proceso de validación que incluye ?comprobaciones a través del DNI y apellidos en
ficheros de morosidad, validación del teléfono móvil, validación de la cuenta bancaria y
de la tarjeta de débito aportada así como estudio del proceso de validación donde un
algoritmo de procesamiento en base a los parámetros que incluye el cliente dan como
positiva o no dicha solicitud?. (Folios 43 y 44)
SEXTO: DINEO remitió a la AEPD con su respuesta al requerimiento de la Inspección
un certificado expedido por su representante en el que consta que, examinados los
libros de contabilidad, a fecha 10 de enero de 2017, el cliente A.A.A., con NIF
***NIF.1 mantiene un préstamo pendiente (***PREST.1) por una cantidad pendiente
hasta la fecha de 190,45 euros. (Folio 50)
SÉPTIMO: EQUIFAX IBÉRICA, S.L., ha aportado documentación procedente de su
fichero FOTOCLI, auxiliar de ASNEF, que evidencia que DINEO informó al fichero
ASNEF una deuda por importe de 161,40 euros, asociada al NIF ***NIF.1, del que es
titular el denunciante, a su nombre y apellidos, con fecha de alta 15/04/2016. La
incidencia se dio de baja el 04/05/2016.
El domicilio atribuido al deudor que la acreedora informante comunicó a
EQUIFAX, y al que ASNEF hizo las notificaciones de inclusión, era calle (C/...1).
(Folios 155, 156 y 160)
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/23
OCTAVO: Obra en el expediente copia de la carta que el denunciante recibió de Asnef
Equifax, S.L., fechada el 16/04/2016, en la que ponen en su conocimiento que sus
datos personales han sido incluidos en el fichero de solvencia ASNEF con fecha de
alta 15/04/2016, informados por DINEO, por una deuda de 161,40 euros (folio 18)
NOVENO: El denunciante se dirigió a DINEO por correo certificado de 25/04/2016
adjuntándole copia de la denuncia presentada en la Policía y solicitud de cancelación
de sus datos. Pide también que remita toda la información del préstamo a la Policía
Nacional de Alcalá de Henares (folios 17 y 26)
DÉCIMO: ORANGE ESPAGNE, S.A.U., ha facilitado a la AEPD la identidad de quien
en fecha 18/02/2016 figuraba como titular del número de móvil ***TELF.1 -número que
consta en el contrato celebrado por DINEO vinculado a los datos personales del
denunciante-. Se verifica que los datos del titular de esa línea (nombre, apellidos y
NIF) no coinciden con los del denunciante, pues según los registros de ORANGE el
titular era B.B.B. cuyo NIF finaliza en los dígitos ?XX.1? y tiene asignada la letra Z.
(Folios 208 y 209)
UNDÉCIMO: BANKIA, S.A., ha facilitado a la AEPD la identidad de quien figuraba
como titular de la cuenta bancaria ***CUENTA.1, que consta en el contrato celebrado
por DINEO vinculado a los datos personales del denunciante. Se verifica que ni el
nombre y apellidos del titular de esa cuenta, desde su apertura, el 18/02/2016, hasta
su cancelación, el 07/07/2016, ni el NIF coinciden con los del denunciante, a cuyo
nombre DINEO celebra el contrato de micro préstamo. Según los registro de BANKIA,
S.A., el titular de la cuenta era D.ª C.C.C., cuyo NIF finalizaba en los dígitos ?XX.2? y
tenía asignada la letra B. (Folios 142 a 145)
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37.g)
en relación con el artículo 36 de la LOPD.
II
Con carácter previo hemos de examinar la cuestión planteada por la
denunciante pues de prosperar obligaría a acordar la suspensión del presente
procedimiento administrativo sancionador de conformidad con el artículo 22.1.g) de la
LPACAP.
Se alega de contrario la existencia de una cuestión prejudicial penal toda vez
que, según afirma la entidad denunciada, la resolución que se dicte en el
procedimiento penal en curso (Diligencias Previas 1013/2016), sustanciadas ante el
Juzgado de Instrucción nºX.2 de ***LOCALIDAD.1 por un presunto delito de
usurpación de estado civil y de estafa, condiciona directamente la decisión que deba
dictarse en este expediente sancionador por lo que existe una cuestión prejudicial
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
10/23
penal. De seguir adelante, dice, se vulneraría la prohibición de non bis in ídem que
contempla nuestra Constitución.
Se ha de advertir en primer lugar que la denunciada no ha aportado ningún
documento que haga prueba del estado en el que se encuentran en la actualidad las
Diligencias Previas citadas, si han dado lugar a la tramitación del correspondiente
Procedimiento Abreviado o si, por el contrario, se ha acordado el sobreseimiento.
Sin perjuicio de lo anterior, frente a lo aducido por DINEO, basta hacer las
siguientes puntualizaciones. Por una parte, indicar que en ningún caso podría existir la
triple identidad, (de sujeto, hecho y fundamento) entre la infracción administrativa que
se valora en este expediente sancionador y la posible infracción o infracciones penales
que se deriven de las Diligencias Previas practicadas por el órgano jurisdiccional
necesaria para afirmar que se ha vulnerado la prohibición de non bis in ídem.
Esto, porque el sujeto infractor es obvio que no sería el mismo ?respecto a las
infracciones de la LOPD el responsable es la entidad DINEO, en tanto que el
responsable penal de un eventual delito de usurpación de estado civil o estafa seria el
tercero que se hubiera hecho pasar por el denunciante-. Tampoco el fundamente
jurídico sería el mismo: Mientras el bien jurídico protegido por la LOPD es el derecho
fundamental a la protección de datos personales el bien jurídico que se protege en los
tipos penales cuya comisión investiga el Juzgado de Instrucción serían el estado civil y
el patrimonio, respectivamente.
En este sentido es muy esclarecedora la Sentencia de la Audiencia Nacional de
27/04/2012 (rec. 78/2010), en cuyo Fundamento Jurídico segundo el Tribunal se
pronuncia en los siguiente términos frente al alegato de la recurrente de que la AEPD
ha infringido el artículo 7 del R.D. 1398/1993 (norma que estuvo vigente hasta la
entrada en vigor de la LPACAP):
?En este sentido el Art. 7 del Real Decreto 1398/1993, de 4 de agosto, se
procedimiento para el ejercicio de la potestad sancionadora, únicamente prevé la
suspensión del procedimiento administrativo cuando se verifique la existencia efectiva
y real de un procedimiento penal, si se estima que concurre identidad de sujeto, hecho
y fundamento de derecho entre la infracción administrativa y la infracción penal que
pudiera corresponder.
No obstante, y para la concurrencia de una prejudicialidad penal, se requiere
que ésta condicione directamente la decisión que haya de tomarse o que sea
imprescindible para resolver, presupuestos que no concurren en el caso examinado,
en el que existe una separación entre los hechos por los que se sanciona en la
resolución ahora recurrida y los que la recurrente invoca como posibles ilícitos
penales. Así, y aun de haberse iniciado, en el presente supuesto, y por los hechos
ahora controvertidos, también actuaciones penales frente a la empresa distribuidora,
lo cierto es que tanto la conducta sancionadora como el bien jurídico protegido son
distintos en una y otra vía (contencioso-administrativa y penal). En el ámbito penal, el
bien jurídico protegido es una posible falsedad documental y estafa, y en el ámbito
administrativo, en cambio, la facultad de disposición de sus datos personales por parte
de su titular, por lo que tal objeción de la demandada ha de ser rechazada?.
En consideración a lo expuesto no puede prosperar la cuestión previa
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
11/23
planteada.
III
Los principios generales de protección de datos regulados en los artículos 4 a
12 de la LOPD, que integran el Título II de la citada Ley Orgánica, constituyen el
contenido esencial de este derecho fundamental.
El artículo 6 LOPD se refiere al principio del consentimiento en el tratamiento de
los datos de carácter personal y bajo la rúbrica ?Consentimiento del afectado?
establece:
?1. El tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de funciones propias de las Administraciones Públicas en el
ámbito de sus competencias; cuando se refieran a las partes de una relación negocial,
laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;...?.
El artículo 4 de la LOPD se ocupa de la ?Calidad de los datos? y en el
apartado 3 dispone:
?Los datos de carácter personal serán exactos y puestos al día de forma que
responsan con veracidad a la situación actual del afectado?.
El artículo 29 de la Ley Orgánica 15/1999 señala en sus apartados 2 y 4:
?Podrán tratarse también datos de carácter personal relativos al cumplimiento
o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien
actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto
de los que hayan registrado datos de carácter personal en ficheros, en el plazo de
treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y
se les informará de su derecho a recabar información de la totalidad de ellos, en los
términos establecidos en la presente Ley?.
?Sólo se podrán registrar y ceder los datos de carácter personal que sean
determinantes para enjuiciar la solvencia económica de los interesados y que no se
refieran, cuando sean adversos, a más de seis años, siempre que respondan con
veracidad a la situación actual de aquellos?.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el
Reglamento de Desarrollo de la LOPD se ocupa (capítulo I del Título IV) de los
?Ficheros de información sobre solvencia patrimonial y crédito? y dispone en el artículo
38, bajo la rúbrica ?Requisitos para la inclusión de los datos?:
?1. Sólo será posible la inclusión en estos ficheros de datos de carácter
personal que sean determinantes para enjuiciar la solvencia económica del afectado,
siempre que concurran los siguientes requisitos: a) Existencia previa de una deuda
cierta, vencida, exigible, que haya resultado impagada (?.)
.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
12/23
El artículo 38 apartado 3 añade que ?El acreedor o quien actúe por su cuenta
o interés estará obligado a conservar a disposición del responsable del fichero común
y de la Agencia Española de Protección de Datos documentación suficiente que
acredite el cumplimiento de los requisitos establecidos en este artículo y del
requerimiento previo al que se refiere el artículo siguiente?. (El subrayado es de la
AEPD).
El artículo 44.3.b) de la LOPD tipifica como infracción grave ?Tratar datos de
carácter personal sin recabar el consentimiento de las personas afectadas, cuando el
mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de
desarrollo?.
El artículo 44.3.c) de la LOPD tipifica como infracción grave ?Tratar datos de
carácter personal o usarlos posteriormente con conculcación de los principios y
garantías establecidos en el artículo 4 de la presente Ley y las disposiciones que lo
desarrollan, salvo cuando sea constitutivo de infracción muy grave?.
Las infracciones graves pueden ser sancionadas con multa de 40.001 ? a
300.000 ?, conforme a lo prevenido en el artículo 45.2 de la citada Ley Orgánica.
IV
Se atribuye a DINEO en el presente expediente sancionador la comisión de dos
infracciones de la LOPD, artículos 6.1 y 4.3, materializadas en haber tratado los datos
personales del denunciante vinculados a la contratación de un micro préstamo sin su
consentimiento y en la posterior inclusión en ficheros de morosidad de sus datos
personales asociados a la deuda derivada de aquél, a la que el denunciante es ajeno,
por lo que respecto a él, la deuda comunicada a ASNEF no era cierta, ni vencida ni
exigible.
Por lo que concierne a la infracción del artículo 6.1 de la LOPD se hacen las
siguientes consideraciones
A. A tenor del artículo 6 de la LOPD, el tratamiento de los datos personales de
un tercero exige contar con el consentimiento inequívoco de su titular, del que se
dispensa al responsable del fichero -entre otros supuestos previstos en la Ley
Orgánica 15/1999-, cuando el tratamiento se refiere a las partes de un contrato o
precontrato y es necesario para su mantenimiento o cumplimiento (ex artículo 6.2
LOPD). Esto, porque el consentimiento para el tratamiento de los datos está implícito
en el consentimiento otorgado a la contratación, pero únicamente si quien facilita los
datos personales con ocasión de ella es efectivamente su titular y en la medida en que
el referido tratamiento sea preciso para la ejecución del contrato.
La documentación que integra el expediente administrativo demuestra que los
datos personales del denunciante (nombre, dos apellidos y NIF, además de una
dirección postal) se incorporaron a los registros informáticos de DINEO vinculados a la
contratación de un micro crédito a su nombre en fecha 18/02/2016 (hecho probado
tercero)
A ese respecto, obran en el expediente tanto las impresiones de pantalla
procedentes de los ficheros de DINEO, en las que se reflejan los datos del afectado
como titular de un micro préstamo por importe de 100 euros, como el documento que
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
13/23
lleva por rúbrica Contrato de Préstamo número ***PREST.1 que DINEO aporta junto al
condicionado general del contrato (folios 51 a 58) en el que constan los mismos datos.
DINEO considera que el tratamiento de datos personales del denunciante que
ha realizado es legítimo, pues le fueron facilitados por el cliente, quien se identificó al
celebrar un contrato de micro crédito a través de su página web el 18/02/2016 con ese
nombre, apellidos y NIF. Sin embargo, el denunciante y titular de los datos tratados por
DINEO ha negado en todo momento haber contratado algún producto con esta
entidad.
Así pues, la cuestión a dilucidar es a quién le corresponde la carga de la
prueba del consentimiento a la contratación. Sobre este particular, la Audiencia
Nacional, Sala de lo Contencioso Administrativo, viene considerando que cuando el
titular de los datos niega el consentimiento al tratamiento corresponde la carga de la
prueba a quien afirma su existencia.
En tal sentido es esclarecedora la antigua SAN, de 11/05/2001, que señalaba
que ?...quien gestiona la base, debe estar en condiciones de acreditar el
consentimiento del afectado, siendo carga de la prueba del mismo su justificación, y la
entidad recurrente en ningún momento ha realizado esfuerzo probatorio tendente a la
acreditación del consentimiento de las personas en las que se basa la sanción? (El
subrayado es de la AEPD).
Este Tribunal ha declarado reiteradamente que el responsable del tratamiento
de los datos personales de terceros debe recabar y conservar la documentación
necesaria que le permita acreditar que solicitó y obtuvo el consentimiento del titular
para tratar sus datos personales. Se menciona a estos efectos, por todas, la SAN de
31/05/2006 (rec. 539/2004) que en su Fundamento de Derecho Cuarto dice:
?Por otra parte es al responsable del tratamiento (por todas, sentencia de esta
Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde asegurarse de
que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa
persona que está dando el consentimiento es efectivamente el titular de esos datos
personales, debiendo conservar la prueba del cumplimiento de la obligación a
disposición de la Administración, encargada de velar por el cumplimiento de la Ley? (El
subrayado es de la AEPD).
Especialmente significativa es también la SAN de 29/04/2010 que, a propósito
de la contratación fraudulenta, indicó en su Fundamento Jurídico sexto: ?La cuestión
no es dilucidar si la recurrente trató los datos de carácter personal de la denunciante
sin su consentimiento, como si empleó o no una diligencia razonable a la hora de
tratar de identificar a la persona con la que suscribió el contrato?. (El subrayado es de
la AEPD)
Y sobre el grado de diligencia que el responsable del fichero está obligado a
desplegar con tal fin -la identificación de la que persona que celebra el contrato- la
SAN de 17/10/2007 (rec. 63/2006) después de referirse a que las entidades en las que
el desarrollo de su actividad conlleva un continuo tratamiento de datos de clientes y
terceros han de observar un adecuado nivel de diligencia precisó que ??.el Tribunal
Supremo viene entendiendo que existe imprudencia siempre que se desatiende un
deber legal de cuidado, es decir, cuando el infractor no se comporta con la diligencia
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
14/23
exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la
profesionalidad o no del sujeto, y no cabe duda de que, en el caso ahora examinado,
cuando la actividad de la recurrente es de constante y abundante manejo de datos de
carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las
prevenciones legales al respecto?. (El subrayado es de la AEPD)
B. Llegados a este punto, corresponde valorar qué grado de diligencia observó
la entidad denunciada cuando contrató por internet un microcrédito con el fin de
cumplir debidamente la obligación que le impone la normativa de protección de datos
personales, en particular el principio del consentimiento al tratamiento de los datos (ex
artículo 6 LOPD)
DINEO fue requerida por la Inspección de Datos para que, en el caso de que
la contratación se hubiera hecho por internet, le informara del procedimiento
implantado por la empresa para validar la identidad del contratante y para que aportara
la documentación que acreditase el consentimiento prestado por el cliente a la
contratación y que ella, efectivamente, había validado su identidad (folio 31)
Pues bien, DINEO no aportó entonces ni tampoco ha aportado posteriormente
con las alegaciones al acuerdo de inicio ningún documento identificativo del cliente
que le sirva ahora para acreditar la identidad de la persona que otorgó el
consentimiento a la contratación del micro crédito y que, en la hipótesis de que el
documento fuera falso, habría demostrado que la entidad sí desplegó la diligencia que
era procedente, que las circunstancias del caso aconsejaban y que el estado de la
técnica permitía para garantizar el cumplimiento de las normas que regulan el derecho
a la protección de datos personales.
Por el contrario, DINEO se ha limitado a hacer manifestaciones, entre ellas,
que tiene implantado un protocolo que, según dice, ?garantiza la correcta identificación
de la persona que efectúa la contratación?. En su escrito de alegaciones al acuerdo de
inicio del expediente, remitido a la AEPD el 25/07/2017, explica que su protocolo de
actuación a fin de cumplir el principio del consentimiento en el tratamiento de los datos
personales de terceros se integra de las siguientes fases:
La primera, dice DINEO, es el ?registro en la plataforma?, lo que significa que
recabará del cliente determinados datos, entre ellos, el ?número de DNI? ?dos
teléfonos? y el correo electrónico. Sobre esta primera etapa comentar que no hay en
ella ningún elemento que implique una garantía en el tratamiento de los datos, pues
únicamente demuestra que desde ese momento existe un tratamiento de datos
personales; lo que se ignora es si los datos facilitados por el cliente y recogidos por
DINEO son de la persona que los facilita como suyos o de un tercero.
La segunda fase es la que DINEO denomina de ?validación del DNI? que
consiste en un algoritmo que permite determinar si el DNI facilitado por el cliente se
corresponde o no con un DNI real o válido. Esta medida tampoco se traduce en una
garantía de la identidad de la persona que facilita unos datos personales como
propios; únicamente demuestra a la entidad que ?alguien? es titular de ese DNI por
cuanto le confirma que es un número de documento que existe.
La tercera fase es la llamada ? validación del número de móvil?, que consiste en
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
15/23
el envío al terminal móvil del contratante de una clave o pin de cuatro cifras que
posteriormente el cliente debe introducir en el formulario al que accede desde la
página web de DINEO. Tampoco esta medida tiene transcendencia desde el punto de
vista del cumplimiento diligente de las obligaciones que la LOPD impone al
responsable de un fichero, entre ellas el respeto al principio del consentimiento (ex
artículo 6.1 LOPD) La única consecuencia que puede extraerse de ella es que quien
pretende contratar con DINEO tiene acceso a ese número de móvil pero, por sí sola,
esta nada dice sobre la identidad del contratante.
Pasamos así a la denominada ?validación de datos bancarios?, que consiste en
verificar si la cuenta bancaria ?es real? y está asociada efectivamente a una cuenta
bancaria. Medida que es también irrelevante desde el punto de vista del respeto a las
obligaciones impuestas por la normativa de protección de datos y cuyo alcance no es
otro que asegurar el buen fin del préstamo, en otros términos, que el importe prestado
se dirigirá a una cuenta abierta y activa. Y finalmente, DINEO menciona la validación
de la ?tarjeta de crédito? para lo que se carga en ella un céntimo que automáticamente
resulta reintegrado.
Sobre esta última fase del protocolo, y por lo que concierne al asunto que nos
ocupa, señalar, por una parte, que en el presente caso no consta ni en los registros
informáticos de DINEO ni en el documento en papel del contrato, en el que vuelca los
datos vinculados al cliente, referencia alguna a una tarjeta de crédito por lo que la
operación mencionada no pudo llevarse a cabo. Por otra, que esa operación tampoco
parece que permita contrastar la identidad del cliente que contrata con ella y de quien
recaba determinados datos personales.
Como muestra de que las operaciones que integran el protocolo de DINEO
nada aportan sobre la identificación del cliente que contrata con ella, nos remitimos a
los hechos probados décimo y undécimo.
En esos hechos probados se recoge, en primer término, el resultado de las
pruebas que la instructora solicitó a ORANGE -que era la operadora que prestaba el
servicio para la línea ***TELF.1 en fecha 18/02/2016-. Como se puede verificar el
nombre, apellidos y NIF del titular de la línea no coinciden en febrero de 2016 ?cuando
se contrató el microcrédito a nombre del denunciante- con los datos personales del
afectado. En segundo término, el hecho probado décimo refleja el resultado de las
pruebas solicitadas a BANKIA en relación con la cuenta bancaria que figura en los
registros de DINEO y a la que se habría transferido el importe del micro préstamo. Se
puede verificar que los datos del titular de la cuenta en la fecha de la contratación del
microcrédito tampoco coinciden con los datos personales del denunciante. Ni siquiera
el titular del móvil y el de la cuenta bancaria son la misma persona.
La exposición precedente pretende evidenciar una vez más, como hizo esta
Agencia en la resolución del PS/00206/2017, que el ?protocolo? de actuación que
DINEO tiene implementado es, desde el punto de vista del cumplimiento de las
obligaciones que le impone la normativa de protección de datos, totalmente
inconsistente y carente de virtualidad para validar la identidad de la persona que
contrata con ella.
En definitiva, la denunciada no ha aportado a esta Agencia indicio alguno del que
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
16/23
se infiera que, en el presente caso, y respecto al tratamiento de los datos del afectado,
adoptó las medidas que la diligencia impone al objeto de acreditar la identidad de la
persona que contrata con ella y para garantizar que quien facilita como suyos datos
personales es su verdadero titular. Conducta que vulnera el artículo 6.1 LOPD.
Indicar, finalmente, que esta Agencia ratifica el criterio adoptado en el acuerdo
de inicio del expediente en el sentido de no apreciar la aplicación del artículo 45.5.b)
LOPD respecto a la infracción del artículo 6.1 LOPD. Si bien DINEO ha expuesto en
sus alegaciones al acuerdo de inicio del expediente sancionador que en cuanto tuvo
noticia de que existía una controversia sobre la identidad del contratante no solo
procedió a excluir los datos del fichero de solvencia ASNEF sino que con idéntica
rapidez procedió a bloquear los datos personales del afectado en sus ficheros, de
modo que cesó en el tratamiento de éstos, que sólo quedaron a disposición de la
Administración y de los Juzgados y Tribunales lo cierto es que, por el contrario, como
se puso de manifiesto en el acuerdo de inicio del expediente, el tratamiento de los
datos personales del afectado se mantuvo en el tiempo, al menos, hasta el
10/01/2017. La razón que lleva a tal conclusión es que DINEO aportó en el curso de
las Actuaciones Previas un certificado expedido por su representante legal (folio 50),
en el que afirma que ?examinados los libros de contabilidad de la sociedad DINEO
CRÉDITO, S.L.?, el ?cliente A.A.A. con DNI ***NIF.1 mantiene un préstamo vigente con
Loan ***PREST.1 con una cantidad pendiente de 190,45 ? cantidad correspondiente
hasta la fecha?.
A tenor del artículo 16 de la LOPD se cancelan los datos cuyo tratamiento no
resulte ajustado a lo dispuesto en la Ley, por lo que parece difícilmente compatible que
la entidad, como argumenta en sus alegaciones al acuerdo de inicio, cancele los datos
de alguien y que el responsable del fichero afirme ocho meses después de la
pretendida cancelación, que esa persona mantiene con él una deuda y así consta en
sus libros contables.
Este documento ?cuyo contenido no aparece desvirtuado por ningún otro- nos
ofrece la evidencia de que DINEO continuó tratando en sus ficheros los datos del
afectado, pese a que hubiera cancelado de ASNEF la inclusión, al menos hasta enero
de 2017 y es la razón por la cual no se apreció en el acuerdo de inicio del expediente
sancionador, respecto a la infracción del articulo 6.1 LOPD, la atenuante cualificada
del artículo 45.5.b) LOPD, que por el contrario sí se reconoció para la infracción del
artículo 4.3. LOPD.
Se concluye de lo expuesto que la actuación de DINEO, habida cuenta de que
trató los datos personales del afectado vinculados a un micro crédito que él no
contrató sin haber adoptado la diligencia mínima exigible para verificar la identidad del
contratante, vulnera el artículo 6.1 de la LOPD y es subsumible en el tipo
sancionador del artículo 44.3.b) LOPD.
V
Por lo que concierne a la infracción del artículo 4.3 de la LOPD, en relación con
el artículo 29.4 de la misma norma, que se atribuye a DINEO han de hacerse las
siguientes reflexiones:
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
17/23
A. Las normas jurídicas reproducidas en el Fundamento de Derecho III ponen
de manifiesto que la comunicación de los datos de un tercero a un fichero de solvencia
patrimonial exige que la deuda sea cierta, vencida, exigible y que haya resultado
impagada. Conviene recordar, además, que el acreedor que informa los datos al
fichero es el responsable de comprobar que tal inclusión se ajusta a los requisitos
establecidos en el artículo 4 de la LOPD y su normativa de desarrollo. En tal sentido
ha de traerse a colación la disposición del artículo 43.1 del RLOPD que establece:
?1. El acreedor o quien actúe por su cuenta o interés deberá asegurarse que
concurren todos los requisitos exigidos en los artículos 38 y 39 en el momento de
notificar los datos adversos al responsable del fichero común. 2. El acreedor o quien
actúe por su cuenta o interés será responsable de la inexistencia o inexactitud de los
datos que hubiera facilitado para su inclusión en el fichero, en los términos previstos
en la Ley Orgánica 15/1999, de 13 de diciembre?. (El subrayado es de la AEPD)
B. Constituye un hecho probado que DINEO trató los datos personales del
denunciante (su nombre, apellidos y NIF) asociados a la contratación de un micro
crédito de 100 euros. Como se ha expuesto en el Fundamento Jurídico precedente la
entidad no ha podido acreditar que el afectada hubiera otorgado el consentimiento a la
contratación de ese producto. El crédito, efectivamente, se otorgó al cliente
identificado con los datos del denunciante y se ingresó en la cuenta bancaria que a tal
fin éste había facilitado, cuenta de la que el denunciante no es ni ha sido titular ni
tampoco autorizado
Ante el incumplimiento de la obligación de devolver el importe prestado, DINEO
comunicó al fichero ASNEF una incidencia asociada al NIF del denunciante, quien
figuraba como titular de la operación, con fecha de alta 15/04/2016, por una deuda de
161,40 euros. La inclusión de los datos personales del denunciante en el fichero de
solvencia incumplía el requisito del artículo 38.1.a) del RLOPD en relación con el
artículo 4.3 y 29.4 LOPD.
Consta acreditado que el 04/05/2016 DINEO canceló la incidencia del fichero
ASNEF. A ese respecto ha quedado también acreditado que el denunciante remitió por
correo certificado de fecha 25/04/2016 a la denunciada una copia de la denuncia
presentada en la Policía por los hechos que ahora nos ocupan.
En definitiva, los datos personales del denunciante fueron incluidos por DINEO
en un fichero de solvencia patrimonial, vinculados a una deuda a la que él era ajeno;
deuda que no era cierta, ni vencida ni exigible desde la perspectiva del afectado, por
cuanto la entidad informante, DINEO, no ha podido acreditar su condición de deudor.
Resulta por ello que la información que la denunciada comunicó a ASNEF no se
ajustó al principio de exactitud y veracidad, corolario del principio de calidad del dato
que proclama el artículo 4.3 de la LOPD.
La conducta anteriormente descrita, vulnera el principio de calidad del dato
consagrado en el artículo 4.3 en relación con el 29.4 de la LOPD, infracción
tipificada en el artículo 44.3.c) de la citada norma.
VI
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
18/23
DINEO invoca en las alegaciones al acuerdo de inicio del expediente el
principio de culpabilidad y argumenta que ese elemento está ausente en los hechos
examinados que se han calificado por la AEPD como sendas infracciones de los
artículos 6.1 y 4.3. de la LOPD.
La existencia de culpabilidad -entendida en sentido amplio, comprensiva tanto
del dolo como de la culpa o negligencia y de la culpa levísima- ha de estar presente
para que pueda exigirse en el ámbito del Derecho Administrativo Sancionador
responsabilidad por el ilícito cometido, pues no es admisible en nuestro ordenamiento
jurídico la imposición de sanciones basadas en la responsabilidad objetiva del
presunto infractor. El Tribunal Constitucional, en STC 76/1999 afirma que las
sanciones administrativas participan de la misma naturaleza que las penales, al ser
una de las manifestaciones del ius puniendi del Estado, y que, como exigencia
derivada de los principios de seguridad jurídica y legalidad penal consagrados en los
artículos 9.3 y 25.1 de la CE, es imprescindible su presencia para imponerlas.
El artículo 28 de la Ley 40/2015, de Régimen Jurídico del Sector Público,
recoge el principio de culpabilidad en el marco del procedimiento administrativo
sancionador y dispone: ?Sólo podrán ser sancionadas por hechos constitutivos de
infracción administrativa las personas físicas y jurídicas (?) que resulten responsables
de los mismos a título de dolo o culpa?.
Por lo que respecta a la infracción del artículo 6.1 LOPD que se atribuye a
DINEO, el elemento culpabilístico de la infracción se concreta en la grave falta de
diligencia demostrada en la medida en que incorporó a sus ficheros y trató los datos
personales del denunciante sin acreditar su consentimiento y sin haber adoptado
ninguna medida que garantizara que la persona que proporcionaba como suyos
determinados datos, con ocasión de una contratación, era efectivamente quien decía
ser. Por el contrario, se ha evidenciado en el curso del expediente que DINEO carece
de un protocolo consistente a tal fin, por lo que ha omitido la diligencia que es exigible
en el cumplimiento de las obligaciones que le impone la LOPD.
DINEO ha omitido también la diligencia exigible respecto a la inclusión en
ficheros de solvencia de los datos del afectado. Se suma a lo expuesto que la
normativa de protección de datos ?refuerza? la diligencia que ha de desplegar el
acreedor informante pues señala que el acreedor o quien actúe por su cuenta o interés
estará obligado a conservar a disposición del responsable del fichero común y de la
AEPD documentación suficiente que acredite el cumplimiento de los requisitos
establecidos en este artículo ?por tanto, también el descrito en el apartado 1.c, del
precepto-.
El artículo 43.1 de la LOPD dispone que ?los responsables de los ficheros y los
encargados de los tratamientos estarán sujetos al régimen sancionador establecido en
la presente Ley?. Por su parte, el artículo 3 d) del citado texto legal considera
?responsable del fichero o tratamiento? a la ?persona física o jurídica, de naturaleza
pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y
uso del tratamiento?.
DINEO, en su condición del responsable del fichero al que se incorporaron los
datos personales del afectado, vinculados a un microcrédito, sin su consentimiento, es
responsable de la infracción del artículo 6.1 de la LOPD. Decidió sobre la finalidad del
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
19/23
tratamiento de esos datos y los comunicó a un fichero de solvencia patrimonial sin
cumplir las condiciones a las que el RLOPD supedita tal inclusión y, además, sin
?asegurarse? antes, como exige el RLOPD (artículo 43) de que concurrían tales
requisitos.
Hemos de concluir que en el presente caso, DINEO, omitiendo la diligencia que
estaba obligada a desplegar en el cumplimiento de las obligaciones que le imponen la
LOPD y el RLOPD, es responsable de sendas infracciones de los artículos 6.1 y 4.3
de la citada Ley Orgánica, esta última en relación con el artículo 29.4 de la misma
Ley y en relación también con el artículo 38.1.a de su Reglamento de desarrollo,
conductas subsumibles en los tipos infractores 44.3.b) y 44.3.c) LOPD.
VII
El artículo 45 de la LOPD, apartados 1 a 5, según redacción introducida por la
Ley 2/2011, de 4 de marzo, de Economía Sostenible, establece:
?1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000
euros.
3. Las infracciones muy graves serán sancionadas con multa de 300.001 a
600.000 euros.
4. La cuantía de las sanciones se graduará atendiendo a los siguientes criterios:
a) El carácter continuado de la infracción.
b) El volumen de los tratamientos efectuados.
c) La vinculación de la actividad del infractor con la realización de tratamientos de
datos de carácter personal.
d) El volumen de negocio o actividad del infractor.
e) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
f) El grado de intencionalidad.
g) La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras
personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la
entidad imputada tenía implantados procedimientos adecuados de actuación en la
recogida y tratamiento de los datos de carácter personal, siendo la infracción
consecuencia de una anomalía en el funcionamiento de dichos procedimientos no
debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la escala
relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella
en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de
la antijuridicidad del hecho como consecuencia de la concurrencia significativa de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
20/23
varios de los criterios enunciados en el apartado 4 de este artículo.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma
diligente.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la
comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese
anterior a dicho proceso, no siendo imputable a la entidad absorbente.?
A. Esta Agencia estima que respecto a la infracción del artículo 4.3 de la LOPD,
en relación con el 29.4, de la citada norma y en relación con el artículo 38.1.a, del
RLOPD, infracción de la que se responsabiliza a DINEO, tal y como se indicó en el
acuerdo de inicio del procedimiento y en la Propuesta de Resolución, concurre la
atenuante cualificada del artículo 45.5.b) LOPD: ?Cuando la entidad infractora haya
regularizad o la situación de forma diligente?.
En los Fundamentos IV y V de esta Resolución se explica qué razones
justifican que únicamente para la vulneración del principio de calidad del dato se
aprecie la citada atenuante cualificada y, en cambio, no se admita esa circunstancia
modificativa de la responsabilidad respecto a la infracción del principio del
consentimiento.
El efecto jurídico que deriva de la aplicación de la disposición mencionada es la
imposición de la sanción de acuerdo con la escala prevista para las infracciones que
preceden en gravedad a la infracción realmente cometida, de manera que la sanción
que corresponde establecer respecto a la infracción del artículo 4.3 LOPD, de la que
se responsabiliza a DINEO, deberá estar comprendida dentro de los márgenes que el
artículo 45.1 LOPD fija para las infracciones leves: de 900 a 40.000 euros.
Por otra parte, en aras a graduar la sanción que debe imponerse, esta Agencia
estima aplicables las siguientes circunstancias modificativas de la responsabilidad
descritas en el artículo 45.4 LOPD:
- ?La vinculación de la actividad del infractor con la realización de tratamientos
de datos de carácter personal? (apartado c,), pues la actividad empresarial de DINEO
exige un continuo tratamiento de datos de carácter personal de sus clientes.
Señalar a este respecto que la doctrina jurisprudencial de la Audiencia
Nacional, Sala de lo Contencioso Administrativo, viene exigiendo a aquellas entidades
en las cuales el desarrollo de su actividad conlleva un continuo tratamiento de datos
de clientes y terceros que observen un adecuado nivel de diligencia. La Audiencia
Nacional ha declarado que ??.el Tribunal Supremo viene entendiendo que existe
imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el
infractor no se comporta con la diligencia exigible. Y en la valoración del grado de
diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no
cabe duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de insistirse en
el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto?. (El
subrayado es de la AEPD)
-?La naturaleza de los perjuicios causados a las personas interesadas o a
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
21/23
terceras personas?, (apartado h) La Audiencia Nacional se ha referido en numerosas
ocasiones a la importancia de la inclusión y mantenimiento de los datos personales en
un fichero de morosidad. En la Sentencia de 16/02/2002, (rec. 1144/1999, Fundamento
de Derecho Cuarto) dice que ?...Ha de decirse que la inclusión equivocada o errónea
de una persona en el registro de morosos, es un hecho de gran trascendencia de la
que se pueden derivar consecuencias muy negativas para el afectado, en su vida
profesional, comercial e incluso personal, que no es necesario detallar. En razón a
ello, ha de extremarse la diligencia para que los posibles errores no se produzcan, ...?
B. En la determinación de la sanción a imponer por la infracción del artículo 6.1
LOPD de la que es responsable DINEO, como hemos indicado, no se aprecia la
concurrencia de ninguna de las atenuantes cualificadas del artículo 45.5. LOPD,
tampoco del apartado b) del precepto,.
Hemos subrayado a tal fin que la denunciada no ha aportado ninguna prueba
(pues se limita a hacer manifestaciones) respecto al bloqueo de los datos personales
del denunciante quien dijo que lo había llevado a cabo nada más conocer la
controversia existente. Indicar, además, que tal manifestación de la entidad
denunciada está en contradicción con un documento que obra en el expediente, y que
fue aportado por ella en el curso de la investigación previa. Un certificado del
representante de la entidad en el que afirma que en enero de 2017 constaba en sus
registros una deuda pendiente a nombre del denunciante.
Así las cosas, la sanción a imponer por infracción del artículo 6.1 de la LOPD
estará comprendida dentro de las cuantías que el artículo 45.2 LOPD fija para las
infracciones graves: de 40.001 a 300.000 euros. Paralelamente, apreciamos en
relación a esta infracción las siguientes circunstancias agravantes de la
responsabilidad de DINEO:
-?El carácter continuado de la infracción? (apartado a,).
- ?La vinculación de la actividad del infractor con la realización de tratamientos de
datos de carácter personal? (apartado c). Nos remitimos a este respecto a las
consideraciones hechas en relación con la vulneración del artículo 4.3 LOPD.
- ?Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora?.
Circunstancia que en el presente caso tiene una significación relevante. Encuadramos
en ella, como exponente de una grave culpabilidad de la entidad denunciada, que
DINEO carece por completo de un protocolo con virtualidad para validar la identidad
de la persona que contrata con ella. A la luz de las declaraciones de la denunciada se
constata que el modus operandi es incompatible con el cumplimiento de las
obligaciones que la normativa de protección de datos impone al responsable del
fichero que trata datos personales de terceros y es ejemplo de una muy grave falta de
diligencia en su actuación.
Señalar que la denunciada incorporó a sus ficheros los datos personales del
denunciante el 18/02/2016 y que a fecha 10/01/2017, casi un año después, los datos
continuaban siendo objeto de tratamiento sin legitimación para ello.
A la luz de la exposición precedente, tomando en consideración las
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
22/23
circunstancias modificativas de la responsabilidad cuya concurrencia ha sido
apreciada, se acuerda imponer a DINEO, por la infracción del artículo 6.1 de la LOPD
una multa de 60.000 euros y por la infracción del artículo 4.3, en relación con el 29.4,
LOPD y en relación con el artículo 38.1.a, del RLOPD, una multa de 20.000 euros,
cuantías que corresponden con la a mitad inferior de la escala de infracciones graves y
con la mitad de la escala de sanciones fijadas para las infracciones leves,
respectivamente.
Vistos los preceptos citados y demás de general aplicación,
la Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad DINEO CREDITO S.L. con NIF ***NIF.3, por una
infracción del artículo 6.1 de la LOPD, tipificada como infracción grave en el artículo
44.3.b) de la LOPD, una multa de 60.000 euros (sesenta mil euros), de conformidad
con lo establecido en el artículo 45.2 de la citada Ley Orgánica.
SEGUNDO: IMPONER a la entidad DINEO CREDITO S.L. con NIF ***NIF.3, por una
infracción del artículo 4.3, en relación con el 29.4, de la LOPD, y en relación también
con el artículo 38.1.a) del RLOPD, tipificada como infracción grave en el artículo
44.3.c) de la LOPD, una multa de 20.000 euros (veinte mil euros), de conformidad
con lo establecido en los artículos 45.5, 45.2 y 45.1 de la citada Ley Orgánica.
TERCERO: NOTIFICAR la presente resolución a DINEO CRÉDITO, S.L.
CUARTO: Advertir a la entidad sancionada que la sanción impuesta deberá hacerla
efectiva una vez sea ejecutiva la presente resolución, de conformidad con lo dispuesto
en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento
Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario
que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real
Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de
diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000
0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco
CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período
ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se
encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el
pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si
se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del
pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo
a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
23/23
por el Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición ante la Directora de la Agencia Española de Protección de Datos
en el plazo de un mes a contar desde el día siguiente a la notificación de esta
resolución o directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de
13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de
dos meses a contar desde el día siguiente a la notificación de este acto, según lo
previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es