Sanción por suplantación de identidad. Adaptación LOPD en Sevilla
En el procedimiento sancionador PS/00238/2015 de la AEPD podemos ver la sanción que recibe una compañía de telefonía que ha dado de alta dos líneas telefónicas sin comprobar la identidad del titular de los datos.
Tras recibir varias facturas emitidas por la entidad denunciada, el afectado dirige un escrito a la AEPD manifestando que la entidad ha realizado un tratamiento de datos personales (dando de alta las dos líneas telefónicas) sin su consentimiento, considerándolo una suplantación de identidad.
Tras realizar varias comprobaciones, se observa que en los ficheros de la entidad denunciada consta asociado el nombre, apellidos y DNI del denunciante a las dos líneas, las cuales generaron sendas facturas. Existe además un CD con una grabación de la conversación telefónica en la que supuestamente alguien contrata en nombre del denunciante y con su DNI, pero solamente una línea y no dos.
La denunciada justifica su actuación manifestando que el contrato de las líneas se realizó de forma legítima. Sin embargo, la Ley establece que corresponde al responsable asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración.
Según el Artículo 6 de la Ley Orgánica de Protección de datos:
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de la Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6,de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.”
Según el procedimiento sancionador citado:
“El artículo 6 de la LOPD consagra el principio del consentimiento o autodeterminación, piedra angular en la construcción del derecho fundamental a la protección de datos que alude a la necesidad de contar con el consentimiento del afectado para que puedan tratarse sus datos personales. Conforme al citado precepto, el tratamiento de datos sin consentimiento del titular, o sin otra habilitación amparada en la Ley, constituye una vulneración de este derecho, pues sólo el consentimiento, con las excepciones contempladas en la ley, legitima el tratamiento de los datos personales.”
Resultado: Multa de 50.000 € por una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.b) de dicha norma, por tratar datos sin consentimiento del afectado.
IMPORTANTE
Corresponde a la entidad responsable acreditar el consentimiento otorgado por cualquier medio de prueba admitido en derecho.
Fuente: LOPD Manager.