Cada vez resulta más frecuente recibir noticias de fraudes cometidos por suplantación de identidadd a alguien.  Este fraude que puede afectar a los consumidores en distintos servicios de consumo recurrente: energía, telecomunicaciones, seguros, agua, etc.

Cualquiera podemos sufrir de forma indebida que se nos hagan cargos desconocidos en nuestras cuentas por algo que no hemos contratado nunca, y que alguien contrató suplantando nuestra identidad frente a una determinada compañía conociendo algunos datos personales.

Este hecho tiene repercusión en la materia de protección de datos, además de las posibles consecuencias penales que puedan arbitrarse frente al defraudador.

La AEPD sancionó recientemente a una conocida entidad por el hecho de que se activaron los servicios de línea móvil, fija y productos de telecomunicaciones sin que constara contrato alguno entre la compañía y el afectado (PS/00308/2020).

En este caso, la AEPD considera que:

“la falta de diligencia desplegada por la entidad en el cumplimiento de las obligaciones impuestas por la normativa de protección de datos de carácter personal es, pues, evidente. Un cumplimiento diligente del principio de licitud en el tratamiento de datos de terceros requiere que la responsable del tratamiento esté en condiciones de probarlo (principio de responsabilidad proactiva)”.

La AEPD no penalizó en un supuesto de suplantación de identidad a otra entidad involucrada debido a la especial diligencia de la misma. La entidad demostró que, una vez se detectó la contratación fraudulenta, se informó al cliente de las causas de la incidencia, de la baja de las líneas de teléfono y eximición de la deuda. Existía además procedimientos y protocolos adecuados de gestión de incidentes similares (E/01178/2020).

Las entidades deben desplegar los medios adecuados de forma que el tratamiento de los datos sea lícito y establecer los procedimientos para la identificación correcta de cada cliente. E incluso, si es preciso, incorporar protocolos para la usurpación de identidad en el seno de las políticas de seguridad y protección de datos.

Para facilitar y garantizar el cumplimiento de la normativa, las entidades pueden adoptar estándares como la norma:

  • ISO/IEC 27001
  • ISO/IEC 27701.

Ésta última facilitará a las empresas el establecimiento de controles eficaces para garantizar el principio de licitud. Mediante el establecimiento de procedimientos el establecimiento podra demostrar la base legítima por la cual se tratan los datos de carácter personal.

En definitiva, que la organización tenga información precisa, completa y actualizada que evite la suplantación de identidad o, al menos, minimice sus consecuencias.

Santiago Cruz Roldán, Director Asesoría Legal.

UBT Legal & Compliance.

AGENDAR LLAMADA