El pasado 13 de diciembre de 2021, la Sala de lo Contencioso del Tribunal Supremo dictaba sentencia STS 4660/2021, mediante la cual confirmaba la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) a una entidad financiera. La infracción cometida habría sido la vulneración de la normativa de protección de datos personales al conceder un crédito online a un usuario que había utilizado para tramitarlo el DNI de otra persona, suplantando así su identidad.
Los hechos de la sentencia se remontan al año 2016, donde el usuario afectado denunció ante la Agencia Española de Protección de Datos que había sido víctima de varios fraudes, en los que se había suplantado su identidad para la contratación de varios microcréditos a su favor. Además de los perjuicios ocasionados por la concesión de préstamos fraudulentos, la no devolución de los mismos por parte del usuario afectado había supuesto que la entidad financiera incluyera sus datos en ficheros de morosidad.
A raíz del procedimiento sancionador como consecuencia de la denuncia, la Agencia Española de Protección de Datos a través de la resolución R/03386/2017, concluyó que la entidad financiera había incurrido en dos infracciones graves; por un lado, al tratar datos personales sin recabar el consentimiento expreso del afectado y en segundo lugar, por incumplir el principio de exactitud y veracidad de los datos.
Por lo que se refiere a la obtención del consentimiento, se determinó que la entidad financiera no había seguido un grado de diligencia razonable, al emplear métodos de identificación insuficientes para identificar al titular real de los datos a la hora de contratar microcréditos por internet. De este modo habría utilizado datos personales sin que se disponga de una base de legitimación para su tratamiento.
En segundo lugar, al incorporar los datos del usuario afectado al fichero de morosidad sin tener este la condición de deudor real, supuso una vulneración del principio de exactitud y veracidad de los datos.
Ambas infracciones graves supusieron para la entidad una multa total de 80.000 euros, de los cuales 60.000 euros son por la falta de consentimiento para el tratamiento de los datos personales del usuario afectado y 20.000 euros por vulnerar el principio de exactitud y veracidad de los datos.
Dicha resolución fue objeto de recurso por parte de la entidad financiera. En un primer momento mediante recurso administrativo de reposición, ante la propia AEPD, quien vendría a confirmar su resolución. Posteriormente, se presentó recurso contencioso-administrativo ante la Audiencia Nacional, quien en 13 de marzo de 2020 desestimaba el mismo, confirmando la sanción de 80.000 euros impuesta por la AEPD.
Finalmente, la sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional fue sometida a recurso de casación ante el Tribunal Supremo. Recurso que una vez más se vería desestimado, confirmando definitivamente las infracciones determinadas por la AEPD, quedando constancia de la falta de obtención del consentimiento para el tratamiento de datos personales, al no disponer de medios suficientes para validar la identidad del titular real de los datos, así como la vulneración del principio de exactitud y veracidad de los datos al incorporarlos a un fichero de morosos sin cumplir las condiciones para serlo.
Compliance: la debida diligencia en la identificación de los usuarios
De la sentencia se extraen conclusiones muy interesantes respecto de la debida diligencia que deben tener todas las entidades a la hora de establecer medidas, mecanismos y/o controles de seguridad que aseguren la identidad real de la persona que pretende contratar sus servicios o productos, todo ello para cumplir con las exigencias de la normativa de protección de datos personales.
Esta situación es especialmente relevante en el sector financiero, ante la obligatoriedad añadida de verificar la identidad de sus clientes en cumplimiento de las exigencias legales derivadas de la Directiva europea contra el blanqueo de capitales. Procedimiento que es conocido en el sector por las siglas “KYC” o “Know Your Customer” (en español “Conoce a tu cliente”) y que viene a paliar los problemas relacionados con la corrupción, financiamiento del terrorismo, blanqueo de capitales y en general, cualquier tipo de transacción ilegal o fraudulenta en el sector financiero.
Este post puede interesarte > La importancia del Compliance Officer en el sector financiero
En el caso que nos ocupa, la entidad financiera había adoptado una serie de medidas de seguridad que, de acuerdo con la sentencia, eran tendentes a asegurar la consecución del proceso. Esto quiere decir que facilitaban la obtención del crédito, pero que ignoraban completamente el objetivo principal que es identificar que la persona que solicita el préstamo es quien dice ser, así como comprobar la veracidad y exactitud de los datos. En particular, los controles implementados eran:
- Registro de datos personales en la plataforma, mediante la introducción de datos identificativos, número de DNI, dos números de teléfono y un correo electrónico. Dichos datos no eran comprobados y se ignoraba si habían sido facilitados por el titular real de los mismos.
- Validación del DNI a través de un algoritmo que determina si el documento de identidad facilitado corresponde con un DNI real o válido. Dicho control únicamente permitía saber que el DNI facilitado es real y existe, pero no quien lo ha presentado.
- Validación del número de teléfono móvil mediante el envío de una clave que se debe introducir en el formulario. Situación que únicamente prueba que se tiene acceso al número de móvil, pero desconociendo la identidad o la titularidad del mismo.
- Validación de datos bancarios, comprobando que la tarjeta de crédito y la cuenta bancaria existen, pero en ningún caso controlando el titular de ambas.
Como se puede observar, tratándose de una contratación online, ninguno de los controles presentados permitiría determinar que la persona que está presentando los datos es la titular real de los mismos.
Dejando de lado la eventual responsabilidad penal derivada de que se produzca un hecho ilícito o delictivo ante la utilización fraudulenta de documentos de identidad por parte de quien no es el titular la cual se dirimirá por el procedimiento oportuno, la sentencia concluye que siempre es exigible que se adopte la diligencia necesaria para que no se pueda reprochar el incumplimiento de las obligaciones en materia de protección de datos personales.
Ante esta situación, es importante recordar que toda entidad que maneje datos personales y que por lo tanto actúe como responsable del tratamiento, debe asegurar y probar que posee una base de legitimación para el tratamiento de los datos personales de los usuarios.
En este caso, aun cuando nos encontraríamos ante la ejecución de un contrato o medidas precontractuales donde el usuario es parte del mismo y por lo tanto el consentimiento para el tratamiento de los datos estaría implícito en el consentimiento otorgado en la contratación, únicamente podría entenderse que posee la legitimación si quien facilita los datos personales es efectivamente su titular real.
Es decir, incluso en un supuesto de tratamiento de datos personales basado en una relación contractual con el usuario, es necesario asegurarse que los datos son veraces y emanan del propio titular. Por ello, el responsable del tratamiento deberá adoptar medidas suficientes que garanticen una debida diligencia a la hora de identificar a los titulares, garantizando que se ha obtenido el consentimiento expreso tanto para el tratamiento de datos personales, como para la contratación.
Los certificados electrónicos cualificados: identificación fehaciente en cualquier entorno
Esta situación pone de manifiesto la importancia de la seguridad en las transacciones online, así como uno de los principales problemas de las mismas, como es la identificación de los distintos actores en el tráfico jurídico, así como la validez de sus actuaciones.
No obstante con la prestación de servicios de confianza cualificados, regulados en el Reglamento (UE) n°910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, (conocido como Reglamento eIDAS) existen soluciones que permiten reforzar las transacciones electrónicas, proporcionando una base común para lograr interacciones electrónicas seguras entre ciudadanos, empresas y administraciones públicas.
Entre estas soluciones encontramos los certificados digitales cualificados, los cuales son expedidos por un Prestador Cualificado de Servicios de Confianza como Uanataca y que garantizan la veracidad de los datos contenidos en él, su procedencia y la verificación de la identidad de la persona que lo utiliza.
Este artículo puede interesarte >¿Qué es un Certificado Digital Cualificado?
Mediante la utilización de certificado digitales cualificados en los procesos de identificación de usuarios o de onboarding digital, se asegura la debida diligencia y máximas garantías en cuanto a la determinación de la identidad, veracidad de los datos y en consecuencia al cumplimiento en materia de protección de datos personales.
✔ Se garantiza la identidad del titular del certificado mediante un procedimiento de registro tasado y auditado. Los titulares de los certificados son identificados en persona o bien a través del procedimiento de vídeo identificación acorde a la regulación española, todo ello mediante el personal del Prestador Cualificado de Servicios de Confianza.
✔ Se certifica la exactitud y veracidad de los datos consignados en los certificados, mediante la revisión de los documentos originales y/o a través de registros públicos habilitados. Los mismos son custodiados de manera segura por el Prestador Cualificado de Servicios de Confianza por un período mínimo de 15 años, garantizando en todo momento su disponibilidad ante cualquier litigio o proceso que ponga en duda su veracidad.
✔ Además si el certificado digital cualificado ofrece firma electrónica cualificada, los documentos o evidencias en la que se hay aplicado gozan de validez jurídica plena, ofreciendo una inversión de la carga de la prueba. Asimismo, de acuerdo con la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo y respecto de las obligaciones de identificación de los clientes, la identidad de los mismos puede quedar acreditada mediante la utilización de una firma electrónica cualificada.
Post relacionado > Firma electrónica simple, avanzada y cualificada
En conclusión, esta sentencia pone de manifestó la importancia para las empresas, especialmente aquellas que prestan sus servicios online, de dotarse de sistemas de identificación o de “onboarding” robustos para la identificación de sus clientes, ya no solo desde un punto de vista de Compliance penal o de cumplimiento normativo sectorial, sino desde la perspectiva general de la privacidad a la hora de tratar datos personales con total seguridad y garantías.
La utilización de servicios de confianza cualificados puede marcar la diferencia por tal de garantizar la debida diligencia en el tratamiento de datos personales y poder evitar así cualquier tipo de sanción.
¿ CÓMO PODEMOS AYUDARTE ?
Uanataca además de ser un Prestador cualificado, trabaja para ofrecer una oferta 360º alrededor de los servicios, liderada por un equipo multidisciplinar de profesionales con gran experiencia tecnológica, jurídica y de negocio que ofrece el mejor asesoramiento y acompañamiento para dotar de garantía técnica y legal a sus procesos y flujos de trabajo.
Contacta con un experto escribiendo un correo a info@uanataca.com o llámanos al +34 935 272 290