Desde FGG ABOGADOS traemos hoy un fraude que se está dando en algunos comercios con relativa frecuencia y la consecuencia para las empresas de contratación on line que incumplen la normativa en vigor y actúan negligentemente en la comprobación de la identidad de sus clientes.
Los hechos son los siguientes: Un particular denuncia en la Policía que una empresa (Dineo) lo ha incluido en el fichero ASNEF por unas deudas que no eran suyas, sufriendo además las molestias de empresas de recobro que, con el estilo que las caracteriza, le reclaman importes en concepto de contratos de microcréditos celebrados con diversas compañías. Operaciones que nunca llevó a cabo.
La Inspección de Datos verifica que la contratación del micro préstamo a nombre del denunciante se hizo telemáticamente a través de la web de la denunciada y sin que ésta pudiera acreditar documentalmente, la «validación realizada sobre la identidad del contratante». Tras las oportunas comprobaciones de ausencia de coincidencia, tanto del titular del móvil que consta en el contrato con la identidad del perjudicado cliente, como del titular de la cuenta bancaria, Dineo es sancionada por diversas infracciones:
El asunto concluye en la Sección 3ª de la Sala de lo Contencioso Administrativo del Tribunal Supremo, con la sentencia nº 1456/2021, de 13 de diciembre (Casación 6109/2020) que confirma la sanción impuesta por la AEPD a la empresa por dar un microcrédito a una persona que suplantó una identidad.
El recurso de casación lo interpone Dineo Crédito, S.L. contra la sentencia de la Audiencia Nacional que se desestima el recurso contencioso-administrativo interpuesto por dicha entidad contra la resolución de la Directora de la Agencia Española de Protección de Datos, por la que se impuso a la empresa, una sanción de 60.000 euros por una infracción del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, y otra de 20.000 euros, por una infracción del artículo 4.3, tipificadas como graves en los artículo 44.3.b) y 44.3.c) de la misma Ley; con imposición de las costas procesales a la parte demandante.
En resumen, la falta de negligencia de la empresa le supuso una sanción de 80.000€ más costas, por haber incluido en el ASNEF a una persona por una deuda de 161€ que no era del denunciante, sino de un tercero que suplantó su identidad.
El Supremo establece que el fraude cometido por un tercero que suplanta la identidad de otra persona no excluye la infracción de la empresa por falta de consentimiento inequívoco para el tratamiento de datos personales que exige la Ley de Protección de Datos.
En su sentencia, el TS, comparte el criterio seguido por la Audiencia Nacional sobre la insuficiencia de las medidas que aplicó Dineo en el procedimiento de contratación on line del microcrédito, en tanto que “se desentienden enteramente del objetivo de verificar la veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser”.
La sentencia de la Audiencia Nacional explicaba que en el proceso de contratación la plataforma de la empresa exigía determinados datos, como el número del DNI, dos teléfonos y el correo electrónico. Unos datos que se ignoran si son del cliente que los facilita como suyos o si son de otras personas.
En relación con el DNI, su validación consistía en un algoritmo que permite determinar si el DNI facilitado por el cliente se corresponde o no con un DNI real o válido. Pero dicha medida “únicamente demuestra a la entidad que” alguien” es titular de ese DNI, por cuanto le confirma que es un número de documento que existe”.
La sentencia, afirma que “ en cualquier caso en el que un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una compra o solicitar un crédito online, siempre se consumaría el tratamiento inconsentido de los datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las autoridades la pérdida o sustracción de su DNI, pues ninguna de las medidas anunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca”.
Por último, el tribunal señala que lo anterior no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es el uso fraudulento de un DNI por parte de quien no es su titular, “ Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal- tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos– la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado”.
La cada vez más frecuente contratación on line nos trae estas situaciones, que en la modalidad presencial son más complicadas de llevar a cabo, simplemente con un mínimo de diligencia del empleado al poder contrastar los datos del cliente. La tendencia a cerrar oficinas y eliminar puestos de trabajo, facilita este tipo de fraudes.