«Las Fintech en el punto de mira de la Agencia española de Protección de Datos», tribuna de Javier de Miguel, abogado de ECIJA, para The Law Clinic.
A menos de un año de la plena aplicabilidad del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), las empresas centran sus esfuerzos, en mayor o menor medida, en adecuarse a la nueva normativa, sin embargo no se debe olvidar que la normativa actual se mantiene vigente y que las empresas aún pueden ser sancionadas por los incumplimientos de la misma.
Este escenario que, si bien, ha de mantener alerta a la totalidad de las empresas o personas físicas que actúen como responsables del tratamiento de datos de carácter personal, puede resultar especialmente preocupante para las Fintech, Insurtech, etc., es decir empresas que, conforme se recoge en el Memento Práctico del Derecho de las Nuevas Tecnologías, realizado por ECIJA (Ed. Lefebvre-El Derecho) son aquellas entidades que “desarrollan su actividad valiéndose de las últimas tecnologías existentes para poner en el mercado productos y servicios financieros y aseguradores, innovadores, orientados a mejorar la eficacia de los procesos tradicionales y mejorar la experiencia de los usuarios, así como los costes tradicionalmente asociados”. Esto es así, ya que la AEPD ha puesto a este tipo de entidades en su punto de mira a causa de los frecuentes casos de solicitud de préstamos (principalmente, aunque también puede extenderse a pólizas de seguro) realizados de forma fraudulenta al mediar una suplantación de identidad por parte del solicitante de los servicios.
En este sentido, es importante precisar que la propia esencia de este tipo de negocios, en los que la contratación se lleva a cabo por medios electrónicos, busca mejorar la experiencia del usuario permitiéndole obtener un préstamo o una póliza de seguro de forma casi inmediata. Sin embargo, cuenta con el hándicap de que, como es lógico, la identificación de los solicitantes no es tan sencilla como en los negocios tradicionales en los que ambas partes de un contrato coincidían en el mismo momento y lugar de su suscripción.
Por ello, para aumentar la seguridad de que la persona que pretende solicitar un préstamo o una póliza en su beneficio es quien dice ser, sin añadir tramites adicionales al interesado, como sería el escaneo y envío por correo electrónico o a través de sitios web de una copia de su documento nacional de identidad, u otro documento fehaciente, en la actualidad este tipo de empresas se vale de determinados mecanismos para llevar a cabo la verificación de la identidad de los contratantes, entre los que podemos encontrar: el envío de un código de verificación al terminal móvil facilitado, el uso de la huella dactilar registrada por el usuario en su Smartphone, etc.
Sin embargo, en opinión de la AEPD, las empresas que se valen de estos mecanismos de verificación inmediatos, no guardan la diligencia debida en la identificación de sus usuarios, razón que explica el gran número de casos de suplantación de identidad que se están produciendo.
Circunstancias bajo las que se causa un evidente perjuicio a las personas que se han visto afectadas por estas contrataciones fraudulentas en su nombre, ya que, siguiendo los procedimientos habituales en la práctica empresarial, las mismas son perseguidas judicialmente (en reclamación de las cantidades pendientes de pago) y en la mayoría de las ocasiones, incluidas en los ficheros de solvencia patrimonial, comúnmente llamados “ficheros de morosos”, sin que sean estas las que han solicitado préstamo o aseguramiento alguno y, por tanto, hayan recibido las cantidades prestadas o las indemnizaciones establecidas en caso de consecución del siniestro.
De hecho, esta situación no solo supone un perjuicio para el interesado en los términos expuestos, sino que, además, supone (o puede suponer) una vulneración de la normativa de protección de datos aplicable, toda vez que, en opinión de la AEPD:
Suponen, por un lado, un tratamiento de datos de carácter personal vulnerando el art. 6 de la LOPD, que establece la necesidad de contar con el consentimiento inequívoco de afectado para el tratamiento de sus datos, salvo que la ley disponga otra cosa, para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato, de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. Ya que, insistimos, según la opinión de la AEPD, estas empresas proceden al tratamiento de los datos de carácter personal de la persona suplantada, sin que ésta en absoluto haya prestado su consentimiento para llevar a cabo este tratamiento, no pudiendo ampararse éste en ninguna otra circunstancia prevista por la normativa. Y
Por otro lado, implican el tratamiento de unos datos de carácter personal inexactos, que no responden a la situación actual del interesado, que como se ha venido exponiendo, ha sido suplantado por una tercera persona que ha solicitado un préstamo en su nombre de forma fraudulenta.
Asimismo, habitualmente se dará la circunstancia de que estos datos sean comunicados a los ficheros de solvencia, circunstancia que además de incrementar el perjuicio sufrido por la persona suplantada, podrían constituir una vulneración de lo dispuesto en el art. 29 de la LOPD, que exige que los datos cedidos sean determinantes para enjuiciar la solvencia económica de los interesados, siempre que respondan con veracidad a la situación actual de aquellos, circunstancia que difícilmente se produciría en este caso, cuando la persona cuyos datos se incluirían en el fichero de solvencia, es decir la deudora, no sería tal, toda vez que sería el suplantador quien realmente solicito el préstamo o la cobertura de seguro.
Por lo tanto, la AEPD considera que estas suplantaciones de identidad podrían evitarse llevando a cabo la identificación por medio del DNI del interesado, del cual se deberá obtener una copia.
Sin embargo, según el artículo 4 del Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (RLPBC), la obligación de identificar fehacientemente al interesado que pretenda establecer relaciones de negocio o intervenir en cualesquiera operaciones ocasionales, aplicará cuando el importe de las mismas sea igual o superior a 1.000 euros. Es decir, que el mecanismo de identificación de acuerdo a la “diligencia debida” propuesto por la AEPD no aplicaría a las entidades que concedan préstamos o realicen operaciones de negocio por importes inferiores a 1.000 euros, por lo que puede parecer excesiva su exigencia, cuando la propia ley ha excluido determinadas operaciones.
Es más, difícilmente parece justificable la defensa de que el DNI, documento fehaciente a estos efectos según es reconocido por el artículo 6 del RLPBC, permite la verificación indubitada de la identidad del solicitante, cuando al igual que ocurre con los terminales móviles usados por estas entidades para realizar la verificación de los interesados, a priori de una forma más sencilla, el mismo puede ser sustraído de su legítimo propietario. Resultando, por tanto, la obtención de una simple copia del DNI insuficiente para llevar a cabo la identificación fehaciente del interesado, ya que podría haberse tenido acceso a la misma de forma fraudulenta por el solicitante del préstamo.
En este sentido, parece razonable la exigencia de una mayor diligencia por parte de estas empresas, para verificar la verdadera identidad de las solicitantes de préstamos o pólizas de seguros y así evitar los perjuicios causados a las víctimas suplantadas e incluso a las propias empresas que, no se olvide, han sido estafadas por el suplantador. Sin embargo, no resulta tan defendible el hecho de que se considere automáticamente la ausencia de la debida diligencia por no haber requerido el DNI en el proceso de verificación, cuando, en la actualidad, la tecnología permite contar con otros mecanismos de identificación, al menos, igual de eficaces que el envío de la copia del DNI.
Por lo tanto, se puede concluir que, los mecanismos de identificación deseados, deben de ser eficaces, a fin de salvaguardar a las víctimas (tanto personas suplantadas como empresas estafadas) de los perjuicios sufridos; deben permitir la generación de evidencias, para poder acreditar la diligencia debida del responsable del tratamiento); deben de ser lo más ágiles y sencillos posibles, a fin de no cargar de tareas adicionales y gravosas a los interesados; y deben de ser lo menos intrusivos posibles para los interesados, más si cabe cuando el RGPD, establece el principio de minimización de datos, como uno de los fundamentales del tratamiento.