martes, 7 de noviembre de 2017

La Agencia Española de Protección de Datos ante las suplantaciones de identidad




La Agencia Española de Protección de Datos (AEPD), cuanto tiene información de una suplantación de identidad, casi siempre por la denuncia que recibe del perjudicado, procede de inmediato a la apertura de un “Expediente Sancionador” para tratar de evaluar posibles responsabilidades en materia de protección de datos, en cualquiera de los eslabones de la cadena que efectuó el tratamiento de los mismos.

Para que el expediente sancionador quede archivado sin sanción, las entidades incursas en el mismo han de solventar estos dos requisitos ante la AEPD:
  1. Han de demostrar que el tratamiento de los datos se inició sin conocimiento de la suplantación de la identidad.
  2. Han de demostrar que en la identificación de los clientes hubo una diligencia razonable. 

Desconocimiento previo de la suplantación

La manifestación exculpatoria de la entidad afirmando tener un desconocimiento previo de la suplantación será suficiente para superar el primer requisito exigido, si la Agencia no demuestra lo contrario en su trabajo de investigación.

La manifestación exculpatoria resulta posible, porque en los procedimientos administrativos sancionadores que abre la Agencia, son de aplicación con matices, los principios propios de los procedimientos penales, entre los que se encuentra el de presunción de inocencia.

Junto con la manifestación exculpatoria, cuando para el tratamiento de los datos haya resultado necesario el Consentimiento, habrá de acompañarse el “documento de consentimiento”, que aportó el suplantador en el momento de la contratación.

Justificación legal:

La aceptación de la presunción de inocencia está asumida por la AEPD, porque deriva de las jurisprudencias del Tribunal Supremo y del Tribunal Constitucional.

Existen muchos ejemplos de jurisprudencia utilizados en sus resoluciones por la propia Agencia Española de Protección de Datos para justificar el principio de presunción de inocencia, como el siguiente:

“Nuestra doctrina y jurisprudencia penal han venido sosteniendo que, aunque ambos puedan considerarse como manifestaciones de un genérico favor rei, existe una diferencia sustancial entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando existe una falta absoluta de pruebas o cuando las practicadas no reúnen las garantías procesales y el principio jurisprudencial in dubio pro reo que pertenece al momento de la valoración o apreciación probatoria, y que ha de juzgar cuando, concurre aquella actividad probatoria indispensable, exista una duda racional sobre la real concurrencia de los elementos objetivos y subjetivos que integran el tipo penal de que se trate.” 

(Sentencia del Tribunal Constitucional de febrero de 1989)
  
Diligencia razonable de identificación

Salvado el primer requisito en base al principio de presunción de inocencia y mediante la manifestación exculpatoria, la entidad que esté inmersa en un expediente sancionador deberá demostrar a la AEPD que ha prestado a la identificación del cliente una diligencia razonable, que en el estado actual de la legislación no puede ser otra que la  diligencia debida establecida por la Ley 10/2010.

En el caso de la identificación formal de los clientes, las entidades demostrarán una diligencia razonable cuando las falsificaciones que sirvieron para la identificación de los mismos son de  suficiente entidad como para aparentar su legitimidad, de forma que no presenten dudas razonables acerca de su veracidad.

Así lo reconoce la AEPD en sus Resoluciones, en las que utiliza sentencias de los Tribunales, como la que sigue:

“…según la prueba obrante, la entidad recurrente exige que a la firma del contrato se acompañe el DNI, lo que en principio constituye una garantía razonable de que la firma se corresponde con el solicitante del préstamo -el problema de autos es que el DNI se había obtenido antes y se empleó para la obtención del préstamo-.”,  y continúa, “…De aquí se  desprende que si resultó empleada una razonable diligencia por parte de la entidad sancionada y que sólo el empleo de un artificioso sistema impidió que fuese detectado el fraude”. 

(Sentencia de la Audiencia Nacional de 26 de abril de 2002, Recurso 0895/2000)

Como se desprende de las sentencias recogidas por la AEPD, las entidades están expuestas al problema de valoración que hagan las Autoridades sobre la capacidad de engaño que tiene la documentación falsificada presentada por los suplantadores.

Este es un tema delicado por su propia subjetividad, por lo que las empresas pueden quedar expuestas si resulta evidente la pobre calidad de las falsificaciones, o si se demuestra que los fallos en las identificaciones se debieron a la negligencia de los empleados en el cumplimiento de la diligencia debida, o de los prescriptores,  cuando de forma presencial verificaron incorrectamente  los documentos de identificación de los  clientes.

La solución a este problema pasa por instaurar en las empresas sistemas de control que obliguen a la correcta identificación de los clientes.


La usurpación de la identidad en las relaciones de negocio y operaciones no presenciales

La argumentación analizada anteriormente se puede aplicar también al “Expediente sancionador” en el caso de una relación de negocio u operación no presencial, a partir de una denuncia por suplantación de identidad formulada ante la Agencia.

Pero para ello hay que partir del hecho incuestionable de que las relaciones de negocio y operaciones no presenciales son mucho más propensas a los fraudes por suplantación de identidad que las presenciales.

Nos encontramos, por tanto, ante un riesgo específico asociado con las relaciones de negocio y operaciones no presenciales, para el que la Ley 10/2010 exige medidas reforzadas de diligencia debida.

La ley de prevención del blanqueo de capitales en su Artículo 12, autoriza a establecer relaciones de negocio o a ejecutar operaciones a través de medios telefónicos, electrónicos o telemáticos cuando concurra alguna de las siguientes circunstancias:
  • (a) La identidad del cliente quede acreditada de conformidad con lo dispuesto en la normativa aplicable sobre firma electrónica.
  • (b) El primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.
  • (c) Se verifiquen los requisitos que se determinen reglamentariamente. 

Según este artículo, la identificación de los clientes no será problemática si se acredita de conformidad con lo dispuesto en la normativa aplicable sobre firma electrónica.

Podrán establecerse también estas relaciones de negocio y operaciones cuando se verifiquen los requisitos que se determinan en el Reglamento (Art. 21), pero siempre cumpliendo medidas de diligencia reforzada.

El problema radica, por tanto,  en la interpretación que los Tribunales, la AEPD y el SEPBLAC pudieran dar de la usurpación de la identidad, en los casos en que la empresa utilice como criterio justificativo para el establecimientos de las relaciones de negocio y operaciones el punto 1-b del Artículo 12, que refiere como circunstancia autorizante el hecho de que el primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España, en la Unión Europea o en países terceros equivalentes.

Resulta evidente que no sería admisible una interpretación literal del punto 1-b del Artículo 12, sin ningún control añadido, porque esta postura olvidaría el Art. 8 de la Ley 10/2010, que indica que los sujetos obligados mantienen la plena responsabilidad respecto de la relación de negocio u operación, aun cuando el incumplimiento sea imputable al tercero;  en este caso al banco donde se abrió la cuenta.

La utilización de la circunstancia autorizante 1-b, sólo debe hacerse en un contexto de diligencia reforzada; es decir, siempre deberá venir acompañada de algunas medidas reforzadas de diligencia debida.

Estas medidas permitirán que las empresas queden menos expuestas a los siguientes riesgos,  en los supuestos de usurpación de identidad:
  1. Riesgo de que las cuentas abiertas en los bancos de donde proceden los primeros ingresos no fueran también abiertas mediante documentaciones falsas.
  2. Riesgo de que las copias de los documentos de identificación que en el plazo de un mes han de remitir  los propios contratantes, y que son necesarias para practicar la diligencia debida, no sean también copias de documentaciones falsas.
  3. Riesgo derivado de la sustanciación de las denuncias por usurpación del estado civil en los Tribunales, en la Agencia Española de Protección de Datos y en el SEPBLAC. 

Vimos en un apartado anterior,  al hablar de los expedientes de la AEPD, que en los temas de usurpación de identidad existen dos requisitos que la empresa debe superar antes de que el expediente sancionador de la Agencia quede archivado sin sanción:
  1. Resulta necesario manifestar expresamente que el tratamiento de los datos se inició sin conocimiento de la suplantación de la identidad, y además, que la AEPD o el propio denunciante no demuestren lo contrario, primando en estos supuestos la presunción de inocencia.
  2. Resulta necesario demostrar también que en la identificación de los clientes hubo una diligencia razonable por parte de la empresa.

En las relaciones de negocio y operaciones no presenciales ambos criterios siguen siendo válidos pero, para justificar la diligencia razonable habrá que tener en cuenta que la Ley 10/2010 exige para estas relaciones de negocio y operaciones no presenciales medidas reforzadas de diligencia debida.

Por tanto, la identificación formal de los clientes bajo el criterio autorizante del Artículo 12, punto 1-b, cuando la contratación se realiza a través de medios telefónicos, electrónicos o telemáticos, deberá venir acompañada de medidas reforzadas de diligencia debida.

La determinación de estas medidas es un tema de debate,  por lo que seguidamente voy a exponer las que creo que deben aplicarse, y que deduzco  de las sentencias de los tribunales y de la interpretación de la AEPD de esas mismas sentencias con ocasión de procedimientos abiertos por la Agencia a partir de denuncias por usurpación de identidad.

Las medidas reforzadas de diligencia debida serían las siguientes: 
Primera: Solicitud del consentimiento para el proceso de comprobación de la veracidad de los datos aportados por los clientes que contraten a través de medios telefónicos, electrónicos o telemáticos.

El artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal no  exige el consentimiento cuando el tratamiento de los datos de carácter personal se refiera a las partes de un contrato o  precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento, pero al exigir la Ley 10/2010 que en las relaciones de negocio y operaciones no presenciales se apliquen medidas reforzadas de diligencia debida, el consentimiento debería solicitarse para el proceso de comprobación de la veracidad de los datos que aportan los clientes, puesto que para ello resulta obligado el acceso a bases de datos externas en las que este requisito resulta imprescindible.

Segunda: Comprobación de la veracidad de los datos aportados por los  clientes,  mediante la utilización de plataformas tecnológicas y  bases de datos internas y externas.

El proceso de comprobación de la veracidad de los datos aportados por los clientes, entre los que se encuentran los datos de identificación, ha de iniciarse desde el momento en que se produce la contratación por medios telefónicos, electrónicos o telemáticos, sin esperar a la recepción en el plazo de un mes, de la copia de los documentos identificativos enviados por los clientes, y que son necesarios para practicar la diligencia debida.

La exigencia de la verificación de los datos aportados por los clientes, como medida reforzada de diligencia debida en las relaciones de negocio y operaciones no presenciales, viene justificada en el tercer párrafo del Artículo 12 de la Ley 10/2010, que dice lo siguiente:

“Cuando se aprecien discrepancias entre los datos facilitados por el cliente y otra información accesible o en poder del sujeto obligado, será preceptivo proceder a la identificación presencial”

Para apreciar discrepancias, por tanto,  resulta obligatorio investigar los datos aportados por los clientes, confrontándolos con otra información accesible o en poder del sujeto obligado,  y sin esperar a la recepción de las copias de los documentos oficiales de identificación.

Ello obliga a las empresas que contraten por medios telefónicos, electrónicos o telemáticos, a disponer de una mínima tecnología que les permita el acceso a bases de datos compartidas de prevención del fraude y plataformas tecnológicas con esta misma finalidad, para lo que les resultará imprescindible el consentimiento de los clientes, si la AEPD no tiene flexibilizada esta interpretación en cada caso, en base al interés legítimo.

La identificación presencial será exigible desde el momento en el que  las empresas aprecien discrepancias entre los datos facilitados por los clientes  y otra información accesible o que esté en su poder.

La utilización de plataformas tecnológicas y bases de datos internas y externas para la comprobación de los datos aportados por los clientes, resulta difícil de probar, si no se tienen establecidas previamente políticas y procedimientos para afrontar este riego, tal como lo exige el punto 2 del Artículo 12, y los mismos hayan sido previamente autorizados por el SEPBLAC.

Esta segunda medida ha sido específicamente definida en el Art. 21.1 d, del Reglamento en los siguientes términos:

“La identidad del cliente quede acreditada mediante el empleo de otros procedimientos seguros de identificación de clientes en operaciones no presenciales, siempre que tales procedimientos hayan sido previamente autorizados por el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (en adelante, Servicio Ejecutivo de la Comisión).” 

Tercera: El expediente de investigación para justificar la aplicación de las medidas reforzadas de diligencia debida.

Todo cliente contratado mediante medios telefónicos, electrónicos o telemáticos, debería contar con un expediente virtual de verificación de datos, que contaría como primer documento con el consentimiento para la verificación de la información mediante el acceso a bases de datos internas y externas.

En los casos de denuncias por usurpación del estado civil, corresponde a las entidades denunciadas acreditar fehacientemente que cuentan con ese consentimiento, aunque sea el viciado otorgado por los suplantadores, sobre todo cuando en los procedimientos judiciales o administrativos los verdaderos titulares de las identidades suplantadas niegan haberlo otorgado, y las entidades tuvieron  que acceder a bases de datos externas que contienen los datos de carácter personal de los verdaderos titulares.

En la verificación de datos en las bases de la  Tesorería General de la Seguridad Social, procedimiento actualmente utilizado por las entidades financieras, este consentimiento hasta ahora se exige  de forma independiente a cualquier otro,  y mediante un  texto literal determinado por la propia TGSS.

Junto al consentimiento o consentimientos, el expediente electrónico debe contener también los justificantes documentales en formato virtual, aportados por las plataformas tecnológicas que hicieron la verificación, así como los documentos utilizados para la identificación formal, en soporte óptico, magnético o electrónico que garantices su integridad, la correcta lectura de los datos, la imposibilidad de manipulación y su adecuada conservación y localización, tal como exige el Artículo 25.2 de la Ley 10/2010.

Igualmente deberían quedar archivados los rastros dejados por la contratación telefónica (grabaciones), electrónica o telemática (IP), lo que no siempre resulta posible en aquellas entidades que no cuidan de forma efectiva este tipo de archivos documentales.


La actuación de las empresas ante la usurpación de la identidad

En las defraudaciones con usurpación de identidad, los delincuentes actúan procurando dar apariencia de veracidad a la documentación identificativa que aportan en el momento de la contratación de los créditos, la apertura de las cuentas bancarias o el establecimiento de las relaciones de negocios. Las entidades afectadas, al desconocer las  circunstancias delictivas de la contratación, proceden de la forma usual al tratamiento interno de los datos personales de los titulares de las identidades suplantadas. Cuando se producen los impagos ceden estos datos a los ficheros de morosidad.

La cesión de estos datos de carácter personal a los ficheros de morosidad es legítima en base al  incumplimiento de las obligaciones derivadas de los contratos, pero dejará de serlo cuando las entidades tengan conocimiento, por cualquier medio,  de que han sido estafadas mediante suplantaciones de identidad.

En el momento en que las entidades tengan noticias de una posible suplantación de identidad, deberán hacer todo lo necesario para comprobar la veracidad de la suplantación y en caso positivo, informarán al Responsable del Fichero de Solvencia para evitar así que se hagan nuevas comunicaciones al titular de la identidad suplantada, regularizando internamente la deuda a la espera de la correspondiente resolución judicial.

Puesto que la suplantación de identidad constituye un riesgo evidente, las entidades han de disponer de un sistema adecuado para el ejercicio de los derechos que se establecen en la legislación sobre protección de datos de carácter personal, asesorando a las víctimas de las suplantaciones sobre los documentos que deben aportar para justificar su reclamación, entre los que estará la copia de la denuncia efectuada ante las autoridades.

Inmediatamente que las entidades tiene acceso a la documentación identificativa de los verdaderos titulares de las identidades suplantadas (documentación  indubitada), deberían iniciar el examen comparativo con las documentaciones aportadas por los suplantadores (documentación dubitada), como fotocopias de DNI o Tarjetas de Extranjero, permisos de trabajo, nóminas, copias de cartillas o cuentas bancarias, etc., procediendo a la baja de las identidades usurpadas en los ficheros de morosidad sin esperar a la resolución judicial, e informando a las autoridades judiciales de las gestiones realizadas, al mismo tiempo que denuncian a los autores por si resultaran identificados, agilizando de esta manera el procedimiento judicial.

Este trabajo de investigación interna puede ser efectuado perfectamente por el Departamento de Prevención del Fraude, que se valdrá del asesoramiento técnico de especialistas en documentoscopia si resultara necesario.

No hay comentarios:

Publicar un comentario