La Agencia Española de Protección de Datos ha sancionado con 40.000 euros a una entidad crediticia que incluyó los datos personales de una mujer en unos ficheros de solvencia patrimonial, sin percatarse que un tercero suplantó la identidad de esta última en el momento de la contratación de un préstamo.
El pasado 1 de diciembre, haciendo uso de las dos reducciones del 20% por el pago voluntario y el reconocimiento de responsabilidad, la entidad ha pagado 24.000 euros en concepto de sanción.
La reclamante denunció que le denegaron una operación financiera a razón de que sus datos personales figuraban en los sistemas de información crediticia.
En particular, reclamaba que dicha inclusión fue motivada por el impago de un préstamo que jamás contrató fruto de haber sido víctima de una suplantación de identidad. En concreto, un tercero desconocido utilizó sus datos para solicitar un microcrédito a través del conocido portal web “QueBueno.es”, siendo la entidad prestamista la parte reclamada
Así, la afectada se vio obligada a interponer una reclamación ante la AEPD contra NBQ Technology. Además, para justificar los anteriores extremos, la reclamante acompañó la siguiente documentación:
- Denuncia efectuada ante la policía por el robo de su cartera en 2018.
- Denuncia efectuada ante la policía en marzo de 2021, en relación con la suplantación de identidad para la contratación de un préstamo.
- Correos electrónicos remitidos a NBQ Technology exponiendo los hechos, así como solicitando la supresión de sus datos personales de los sistemas comunes de información crediticia.
Por su parte, después de dar traslado de dicha reclamación a la entidad crediticia, esta última informa que, una vez que transcurrió la fecha de vencimiento del préstamo, periodo de tiempo en el que el préstamo debía ser devuelto, el préstamo fue impagado y, en consecuencia, pasados unos meses la deuda fue inscrita en los ficheros de solvencia patrimonial.
Además, la reclamada expone que el préstamo fue cedido mediante contrato de compraventa y cesión de cartera de créditos a la entidad Quartz Capital Fund S.C.A.
Por último, tras asumir su error, manifiestan que NBQ nunca pudo conocer que la reclamante había sido víctima de la aludida suplantación de identidad durante el tiempo en el que fue acreedora del crédito, ya que hasta meses después de haber cedido el préstamo, NBQ no tuvo conocimiento de tal circunstancia.
En definitiva, a su juicio, su actuación fue correcta y diligente, puesto que una vez que NBQ tuvo conocimiento de los hechos, puso a disposición del reclamante todas las herramientas para que la actual acreedora estuviera correctamente informada del escenario.
Turno de la AEPD, su Directora acordó, en septiembre de 2021, admitir a trámite la reclamación presentada.
Conforme a las evidencias de las que se disponía en aquel momento, la Agencia consideraba que la reclamada vulneró el art. 6.1 del Reglamento General de Protección de Datos, “toda vez que trató los datos personales del reclamante sin que tuviese ninguna legitimación para ello”. En concreto, la APED alertaba que los datos personales de la reclamante fueron incorporados a los sistemas de información de la compañía, sin que esta última acreditase fielmente que contrató legítimamente.
En palabras de la Agencia, en el momento de la contratación, la entidad reclamada “no tuvo las cautelas necesarias para acreditar la legitimación del contratante”. Así, “la falta de diligencia desplegada por la entidad en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personal es, pues, evidente”, añade.
Al hilo de lo anterior, la AEPD recuerda que un cumplimiento diligente del principio de licitud en el tratamiento de datos de terceros requiere “que la responsable del tratamiento esté en condiciones de probarlo”.
Así pues, sin acreditación alguna de dicho extremo, la Agencia estimó que la conducta de la entidad reclamada podría vulnerar el art. 6.1 del RGPD, pudiendo ser constitutiva de la infracción tipificada en el art. 83.5.a) del citado Reglamento.
A efectos de fijar la sanción de multa a imponer a la entidad reclamada, en una valoración inicial, se estiman concurrentes en el presente supuesto los siguientes agravantes:
- Por un lado, los hechos objeto de la reclamación son imputables a una falta de diligencia de la parte reclamada (art. 83.2.b) del RGPD), ya que un tercero contrató en nombre de la afectada un préstamo, figurando una cuenta bancaria y una dirección distinta a la suya. Así pues, la reclamada, no verificó la personalidad del que contrató y no tomó las cautelas necesarias para que estos hechos no se produjeran.
- Por otro lado, existe una evidente vinculación entre la actividad empresarial de la reclamada y el tratamiento de datos personales de clientes o de terceros (art. 83.2.k) del RGPD en relación con el art. 76.2.b) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).
Por lo anterior, sin perjuicio de lo que resulte de la instrucción del procedimiento, la AEPD fijó en la cuantía de 40.000 euros la sanción a imponer a la entidad crediticia reclamada.
El pasado 1 de diciembre, haciendo uso de las reducciones por el pago voluntario y el reconocimiento de responsabilidad, la reclamada pagó la sanción y abonó 24.000 euros.
Como es sabido, “el pago realizado, dentro del plazo concedido para formular alegaciones a la apertura del procedimiento, conlleva la renuncia a cualquier acción o recurso en vía administrativa contra la sanción y el reconocimiento de responsabilidad”.
Fuente: Economist&Juris