80.000 euros de sanción x microcrédito online a una persona que suplantó la identidad de un tercero
La Sección Tercera de la Sala de lo Contencioso ha confirmado una sanción de 80.000 euros que
impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley de
Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud
del crédito el DNI de otra persona.
15 de enero de 2022 – La Sala de lo Contencioso del Tribunal Supremo establece que la intervención fraudulenta de un tercero que suplanta la identidad de otra persona no excluye la infracción de la empresa por falta de consentimiento inequívoco para el tratamiento de datos personales que exige la Ley de Protección de Datos porque la intervención fraudulenta de un tercero no implica que la empresa contratante haya actuado con diligencia.
La Sección Tercera de la Sala de lo Contencioso ha confirmado una sanción de 80.000 euros que
impuso la Agencia de Protección de datos a la empresa Dineo crédito S. L. por vulnerar la Ley de
Protección de Datos al conceder un microcrédito online a una persona que aportó en la solicitud
del crédito el DNI de otra persona. El dinero del crédito no se devolvió y Dineo incluyó al titular del
DNI suplantado en una lista de morosos. La Sala rechaza el recurso de casación de la empresa y
confirma la sentencia de la Audiencia Nacional que confirmó la sanción.
El hombre cuyo DNI fue suplantado denunció ante la Agencia de Protección de datos que Dineo
trató sus datos personales sin su consentimiento, en relación con un contrato celebrado a su
nombre por un tercero y que finalizó en una deuda que no le pertenecía por la que se le incluyó en
un fichero de morosos.
La Agencia de Protección de Datos concluyó que la empresa denunciada había incurrido en dos
infracciones graves de la Ley de Protección de Datos por tratar datos personales sin
recabar el consentimiento de las personas afectadas y por vulnerar la exigencia de
exactitud y veracidad de los datos, al haber incorporado en sus sistemas informáticos los
datos del denunciante y dando traslado de ellos al fichero de solvencia patrimonial Asnef. Así, el
nombre del denunciante figuraba en la lista de moroso asociado a una deuda de 161 euros, deuda
que no era cierta, vencida ni exigible ya que el denunciante no había contratado el microcrédito.
La empresa no actuó con la diligencia necesaria
En su sentencia, el tribunal explica que comparte el criterio de la Audiencia Nacional sobre la
insuficiencia de las medidas que aplicó la empresa en el procedimiento de contratación on line del
microcrédito, en tanto que “se desentienden enteramente del objetivo de verificar la
veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el
crédito es precisamente quien dice ser”.
La sentencia de la Audiencia Nacional explicaba que en el proceso de contratación la plataforma de
la empresa exigía determinados datos, como el número del DNI, dos teléfonos y el correo
electrónico. Unos datos que se ignora si son del cliente que los facilita como suyos o si son de
otras personas.
En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI
facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida
“únicamente demuestra a la entidad que” alguien” es titular de ese DNI, por cuanto le confirma
que es un número de documento que existe”.
La sentencia, ponencia del magistrado Eduardo Calvo, aprecia que de este modo, “ en cualquier
caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una
compra o solicitar un crédito online, siempre se consumaría el tratamiento inconsentido de los
datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las
autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas anunciadas por la
recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca”.
Por último, el tribunal señala que lo anterior no significa que se haga recaer sobre la empresa
contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es el
uso fraudulento de un DNI por parte de quien no es su titular, “ Pero sí es exigible a dicha
empresa contratante, como diligencia necesaria para que no se le pueda reprochar el
incumplimiento de sus obligaciones en materia de protección de datos de carácter personal- tanto
en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio
de veracidad y exactitud de los datos- la implantación de medidas de control tendentes a verificar
que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del
DNI aportado”.