La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a una entidad financiera por una infracción del artículo 6.1 del Reglamento General de Protección de Datos (en adelante, “RGPD”), relativa a la falta de legitimación para el tratamiento de datos personales al no haber acreditado la existencia de un consentimiento válido ni una relación contractual legítima con el afectado.
El procedimiento se inició a raíz de una reclamación presentada por un ciudadano, quien manifestó haber sido incluido en ficheros de solvencia patrimonial por una deuda derivada de una tarjeta de crédito que nunca había solicitado ni contratado. El reclamante tuvo conocimiento de la situación al serle denegada una operación de financiación por otra entidad, constatando que un tercero había suplantado su identidad utilizando sus datos personales para contratar el producto financiero de forma fraudulenta.
En el análisis, la AEPD constata que la entidad financiera no desplegó la diligencia debida en el momento de la contratación para verificar la identidad del solicitante. La AEPD recuerda que, para que el tratamiento de datos sea lícito, debe basarse en una de las causas previstas en el artículo 6 del RGPD. En este caso, al haberse producido una suplantación de identidad, no existía un contrato real ni una manifestación de voluntad del afectado, lo que determina la ilicitud del tratamiento de sus datos y de su posterior comunicación a los ficheros de morosidad.
La AEPD señala que la carga de la prueba sobre la licitud del tratamiento recae sobre el responsable, quien debe implementar medidas de verificación de identidad robustas para evitar contrataciones fraudulentas.
La AEPD fundamenta la sanción en los siguientes extremos:
- Tratamiento de datos personales (nombre, DNI y datos financieros) sin base de legitimación (art. 6.1 RGPD).
- Insuficiencia de los procedimientos de verificación de identidad en el proceso de contratación a distancia.
- Inclusión indebida de los datos del afectado en sistemas de información crediticia tras el impago de la deuda fraudulenta.
Con esta resolución, la AEPD reitera que las entidades financieras tienen una responsabilidad proactiva en la validación de la identidad de sus clientes, y que el riesgo de suplantación de identidad debe ser mitigado por el responsable del tratamiento mediante controles efectivos, so pena de incurrir en infracciones graves por tratamiento de datos sin consentimiento.
