Nota informativa – Las suplantaciones de identidad en la contratación pueden llevar aparejadas sanciones para las entidades implicadas
Madrid, 31 de enero 2022
Los procesos de identificación y autenticación en procedimientos de contratación online han ido adquiriendo especial relevancia en relación con las obligaciones que establece la normativa en materia de protección de datos de carácter personal, a tenor de las últimas sanciones administrativas y pronunciamientos de los tribunales.
Son ya múltiples las situaciones en las que la Agencia Española de Protección de Datos considera que, aun en los casos en que una entidad es víctima de una estafa de suplantación de identidad, puede ser sancionada si se considera que no ha sido suficientemente diligente en la comprobación de la identidad durante el proceso de contratación.
Este criterio se ha venido ratificando por los Tribunales, y así se confirma con la reciente sentencia de la Sala Tercera del Tribunal Supremo que ha resuelto el Recurso de Casación nº6109/2020, que ratifica una sanción de 60.000 euros por incumplir la normativa de protección de datos de carácter personal en su proceso de verificación de identidad en la contratación online de un microcrédito.
La Sentencia considera que, como consecuencia de la identificación incorrecta del interesado, la entidad sancionada trató los datos personales del denunciante sin su consentimiento, al ser sus datos personales facilitados por un tercero que se hacía pasar por la víctima y pidió el crédito a su nombre.
El proceso de verificación de identidad utilizado, considerado insuficiente por los tribunales, incorporaba diferentes fases:
- Registro en la Plataforma: Proceso mediante el cual se facilitan los datos personales del solicitante del crédito.
- Validación del D.N.I.: mecanismo de control mediante un algoritmo que permite determinar si el DNI facilitado se corresponde con un D.N.I. válido.
- Validación del Número de Móvil: consistente en el envío al terminal móvil del contratante de una clave que, posteriormente, deberá introducir en el formulario.
- Validación de Datos Bancarios: verificación de que el número de cuenta facilitado es efectivamente una cuenta bancaria real.
La valoración de este sistema es que no es suficiente para dar cumplimiento a la debida diligencia de la comprobación de la identidad, ya que: el registro “únicamente demuestra que existe un tratamiento de datos personales, pero se ignora es si los datos son de la persona que los facilita o de un tercero”; en cuando a la verificación del D.N.I. “únicamente demuestra a la entidad que ‘alguien’ es titular de ese D.N.I.”; en lo que se refiere a la validación del número de móvil se concluye que esta medida “sólo resulta posible extraer que quien pretende contratar el crédito tiene acceso a ese número de móvil, pero nada dice sobre la identidad del contratante”; y la validación de datos bancarios efectuada es una medida “también irrelevante desde el punto de vista de la normativa de protección de datos, y cuyo alcance es asegurar el buen fin del préstamo”.
El Tribunal Supremo comparte este parecer ya manifestado por la Audiencia Nacional acerca de la insuficiencia de las medidas aplicadas en el procedimiento de contratación, e insiste en que “las medidas de verificación aplicadas por la recurrente parecen enteramente encaminadas asegurar el buen fin del préstamo, pero se desentienden del objetivo de verificar la veracidad y exactitud de los datos”.
En definitiva, dando respuesta a la cuestión de interés casacional que planteaba el auto de admisión, el Tribunal concluye que la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación online, no excluye que la empresa contratante haya podido incurrir en infracción por falta de legitimación para el tratamiento de los datos personales (aunque al asunto le era de aplicación la normativa previa al RGPD, la interpretación es perfectamente válida con la actual regulación).
No obstante, el Alto Tribunal sí limita la responsabilidad de la mercantil: “Lo anterior no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es la utilización fraudulenta de un DNI por parte de quien no es su titular. Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser”.
De lo cual, puede concluirse que no puede exigirse una obligación de resultado, en el sentido de que cualquier suplantación de identidad suponga necesariamente una infracción de las obligaciones contenidas en la normativa de protección de datos, pero sí que al menos se despliegue una diligencia adecuada para verificar la identidad de quien facilita los datos personales.
Este criterio parece contradecir algunas recientes interpretaciones de la Agencia Española de Protección de Datos, que tiende a exigir que las entidades que recaban los datos deben “estar en condiciones de eliminar dichos riesgos”, tal y como afirma en el Informe de su Gabinete Jurídico con N/REF: 0030/2021.
En cualquier caso, del contenido de la Sentencia pueden extraerse algunas consideraciones a tener en cuenta a la hora de recabar datos personales de forma no presencial, especialmente con fines de contratación.
La principal es que deben existir mecanismos tendentes a verificar la identidad del interesado que facilita dos datos. Es decir, no basta con verificar la información necesaria para perfeccionar el contrato, la Agencia y los Tribunales entienden que debe cumplirse, en todo caso, con un deber de diligencia en la comprobación de la identidad, independiente del que puedan exigir las normativas sectoriales aplicables al tipo de contratación que vaya a realizarse (telecomunicaciones, bancaria, energética, etc.).
Adicionalmente, del contenido de las resoluciones puede interpretarse que sería necesaria la utilización de medidas de verificación reforzada, que incorporen elementos que permitan identificar inequívocamente al individuo y no meramente una comprobación formal.
Sin embargo, esta exigencia contrasta con otras resoluciones en las que se pone en duda la utilización de medios de identificación eficaces para evitar el fraude en la identificación. En este sentido, es especialmente destacable la campaña emprendida por las autoridades de control para limitar el uso de tecnologías asociadas a la biometría, que tiende a ser considerada como una medida desproporcionada para el control de los intentos de suplantación de identidad, aunque hay instituciones como la Autoridad Bancaria Europea (EBA por sus siglas en inglés) que recomiendan su uso para garantizar un proceso de autenticación seguro.
En este sentido, la referida Sentencia también parece poner en duda el uso del móvil como segundo factor para la comprobación de la identidad, ya que, como se ha indicado, considera que “sólo resulta posible extraer que quien pretende contratar el crédito tiene acceso a ese número de móvil, pero nada dice sobre la identidad del contratante”.
Este contexto deja en una encrucijada a los responsables del tratamiento que recaban datos de forma telemática, que ven cómo se ponen en duda ciertos métodos de identificación, pero sin que resulte posible identificar los elementos y medidas que deben componer un adecuado proceso de identificación online que asegure el cumplimiento de las obligaciones que impone la normativa de protección de datos.
En este escenario, resultaría procedente que se regulase de forma clara qué procesos de identificación se consideran adecuados, dotando a las empresas de seguridad y alternativas a aquellos procedimientos que vienen empleando para la contratación de sus servicios.
Quedamos a su disposición para cualquier duda o cuestión que pudiera surgir.
Reciba un cordial un saludo,
Área de Privavidad y Protección de Datos de ECIJA