El Tribunal Supremo de España confirmó la sanción pecuniaria que impuso la Agencia de Protección de datos a una empresa que concedió un crédito online a una persona que suplantó la identidad de un tercero, vulnerando con ello la ley de Protección de Datos .
El Tribunal sostiene que la entidad financiera no adoptó las medidas necesarias en el procedimiento de contratación en línea de un crédito, pues se desentendió del objetivo de verificar la veracidad y la exactitud de los datos, y, en particular, de comprobar que quien solicita el crédito es precisamente quien dice ser.
Noticia Relacionada
En ese sentido, el fallo considera que la fase del procedimiento de contratación del préstamo denominada «validación de datos bancarios», la cual consiste en verificar si la cuenta bancaria es real y está asociada efectivamente a una cuenta bancaria, es irrelevante desde el punto de vista del cumplimiento a las obligaciones impuestas por la normativa de protección de datos, pues sólo asegura el otorgamiento del préstamo, esto es, que el dinero prestado se dirigirá a una cuenta abierta y activa, pero nada aporta en cuanto a que el titular de esa cuenta sea precisamente la persona que figura en la cédula de identidad utilizada. De este modo, en cualquier caso en el que un tercero utilice indebidamente una cédula sustraída o extraviada para realizar una compra o solicitar un crédito en línea, siempre se consumaría el uso no consentido de los datos personales del titular del documento, aunque éste hubiese denunciado ante las autoridades la pérdida o sustracción de su cédula de identidad, pues ninguna de las medidas enunciadas por la recurrente aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca.
El Tribunal advierte que la exigencia de validar la identidad no significa que se haga recaer sobre la empresa contratante la responsabilidad de impedir que se produzca un hecho ilícito o delictivo como es la utilización fraudulenta de una cédula de identidad por parte de quien no es su titular. Pero sí es exigible a dicha empresa contratante, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal la implantación de medidas de control tendentes a verificar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular de la cédula de identidad utilizada.
En definitiva, el Tribunal confirmó la sanción pecuniaria que impuso la Agencia de Protección de datos a la empresa prestamista por vulnerar la Ley de Protección de Datos.