La Agencia Española de Protección de
Datos (AEPD), cuanto tiene información de una suplantación de identidad, casi
siempre por la denuncia que recibe del perjudicado, procede de inmediato a la
apertura de un “Expediente Sancionador” para tratar de evaluar
posibles responsabilidades en materia de protección de datos, en cualquiera de
los eslabones de la cadena que efectuó el tratamiento de los mismos.
Para que el expediente sancionador quede
archivado sin sanción, las entidades incursas en el mismo han de solventar
estos dos requisitos ante la AEPD:
- Han de
demostrar que el tratamiento de los datos se inició sin conocimiento de la
suplantación de la identidad.
- Han de
demostrar que en la identificación de los clientes hubo una diligencia
razonable.
Desconocimiento previo de la
suplantación
La manifestación exculpatoria de la
entidad afirmando tener un desconocimiento previo de la suplantación será
suficiente para superar el primer requisito exigido, si la Agencia no demuestra
lo contrario en su trabajo de investigación.
La manifestación exculpatoria resulta
posible, porque en los procedimientos administrativos sancionadores que abre la
Agencia, son de aplicación con matices, los principios propios de los
procedimientos penales, entre los que se encuentra el de presunción
de inocencia.
Junto con la manifestación exculpatoria,
cuando para el tratamiento de los datos haya resultado necesario el Consentimiento,
habrá de acompañarse el “documento de consentimiento”, que aportó el
suplantador en el momento de la contratación.
Justificación legal:
La aceptación de la presunción de
inocencia está asumida por la AEPD, porque deriva de las jurisprudencias del
Tribunal Supremo y del Tribunal Constitucional.
Existen muchos ejemplos de
jurisprudencia utilizados en sus resoluciones por la propia Agencia Española de
Protección de Datos para justificar el principio de presunción de inocencia,
como el siguiente:
“Nuestra doctrina y jurisprudencia penal
han venido sosteniendo que, aunque ambos puedan considerarse como
manifestaciones de un genérico favor rei, existe una diferencia sustancial
entre el derecho a la presunción de inocencia, que desenvuelve su eficacia cuando
existe una falta absoluta de pruebas o cuando las practicadas no reúnen las
garantías procesales y el principio jurisprudencial in dubio pro reo que
pertenece al momento de la valoración o apreciación probatoria, y que ha de
juzgar cuando, concurre aquella actividad probatoria indispensable, exista una
duda racional sobre la real concurrencia de los elementos objetivos y
subjetivos que integran el tipo penal de que se trate.”
(Sentencia del Tribunal Constitucional
de febrero de 1989)
Diligencia razonable de identificación
Salvado el primer requisito en base al
principio de presunción de inocencia y mediante la manifestación exculpatoria,
la entidad que esté inmersa en un expediente sancionador deberá demostrar a la
AEPD que ha prestado a la identificación del cliente una diligencia razonable,
que en el estado actual de la legislación no puede ser otra que la diligencia
debida establecida por la Ley 10/2010.
En el caso de la identificación formal
de los clientes, las entidades demostrarán una diligencia razonable cuando las
falsificaciones que sirvieron para la identificación de los mismos son de
suficiente entidad como para aparentar su legitimidad, de forma que no
presenten dudas razonables acerca de su veracidad.
Así lo reconoce la AEPD en sus
Resoluciones, en las que utiliza sentencias de los Tribunales, como la que
sigue:
“…según la prueba obrante, la entidad
recurrente exige que a la firma del contrato se acompañe el DNI, lo que en
principio constituye una garantía razonable de que la firma se corresponde con
el solicitante del préstamo -el problema de autos es que el DNI se había
obtenido antes y se empleó para la obtención del préstamo-.”, y continúa,
“…De aquí se desprende que si resultó empleada una razonable diligencia por
parte de la entidad sancionada y que sólo el empleo de un artificioso sistema
impidió que fuese detectado el fraude”.
(Sentencia de la Audiencia Nacional de
26 de abril de 2002, Recurso 0895/2000)
Como se desprende de las sentencias
recogidas por la AEPD, las entidades están expuestas al problema de valoración
que hagan las Autoridades sobre la capacidad de engaño que tiene la
documentación falsificada presentada por los suplantadores.
Este es un tema delicado por su propia
subjetividad, por lo que las empresas pueden quedar expuestas si resulta
evidente la pobre calidad de las falsificaciones, o si se demuestra que los
fallos en las identificaciones se debieron a la negligencia de los empleados en
el cumplimiento de la diligencia debida, o de los prescriptores, cuando
de forma presencial verificaron incorrectamente los documentos de
identificación de los clientes.
La solución a este problema pasa por
instaurar en las empresas sistemas de control que obliguen a la correcta
identificación de los clientes.
La usurpación de la identidad en las
relaciones de negocio y operaciones no presenciales
La argumentación analizada anteriormente
se puede aplicar también al “Expediente sancionador” en el caso de
una relación de negocio u operación no presencial, a partir de una
denuncia por suplantación de identidad formulada ante la Agencia.
Pero para ello hay que partir del hecho
incuestionable de que las relaciones de negocio y operaciones no presenciales
son mucho más propensas a los fraudes por suplantación de identidad que las
presenciales.
Nos encontramos, por tanto, ante un
riesgo específico asociado con las relaciones de negocio y operaciones no
presenciales, para el que la Ley 10/2010 exige medidas reforzadas de diligencia
debida.
La ley de prevención del blanqueo de
capitales en su Artículo 12, autoriza a establecer relaciones de negocio o a ejecutar
operaciones a través de medios telefónicos, electrónicos o telemáticos cuando
concurra alguna de las siguientes circunstancias:
- (a) La
identidad del cliente quede acreditada de conformidad con lo dispuesto en
la normativa aplicable sobre firma electrónica.
- (b) El
primer ingreso proceda de una cuenta a nombre del mismo cliente abierta en
una entidad domiciliada en España, en la Unión Europea o en países
terceros equivalentes.
- (c) Se
verifiquen los requisitos que se determinen reglamentariamente.
Según este artículo, la identificación
de los clientes no será problemática si se acredita de conformidad con lo
dispuesto en la normativa aplicable sobre firma electrónica.
Podrán establecerse también estas
relaciones de negocio y operaciones cuando se verifiquen los requisitos que se
determinan en el Reglamento (Art. 21), pero siempre cumpliendo medidas de
diligencia reforzada.
El problema radica, por tanto, en
la interpretación que los Tribunales, la AEPD y el SEPBLAC pudieran dar de
la usurpación de la identidad, en los casos en que la empresa
utilice como criterio justificativo para el establecimientos de las relaciones
de negocio y operaciones el punto 1-b del Artículo 12, que refiere como
circunstancia autorizante el hecho de que el primer ingreso proceda de una
cuenta a nombre del mismo cliente abierta en una entidad domiciliada en España,
en la Unión Europea o en países terceros equivalentes.
Resulta evidente que no sería admisible
una interpretación literal del punto 1-b del Artículo 12, sin ningún control
añadido, porque esta postura olvidaría el Art. 8 de la Ley 10/2010, que indica
que los sujetos obligados mantienen la plena responsabilidad respecto de la
relación de negocio u operación, aun cuando el incumplimiento sea imputable al
tercero; en este caso al banco donde se abrió la cuenta.
La utilización de la circunstancia
autorizante 1-b, sólo debe hacerse en un contexto de diligencia reforzada; es
decir, siempre deberá venir acompañada de algunas medidas reforzadas de
diligencia debida.
Estas medidas permitirán que las
empresas queden menos expuestas a los siguientes riesgos, en los
supuestos de usurpación de identidad:
- Riesgo de
que las cuentas abiertas en los bancos de donde proceden los primeros
ingresos no fueran también abiertas mediante documentaciones falsas.
- Riesgo de
que las copias de los documentos de identificación que en el plazo de un
mes han de remitir los propios contratantes, y que son
necesarias para practicar la diligencia debida, no sean también copias de
documentaciones falsas.
- Riesgo
derivado de la sustanciación de las denuncias por usurpación del estado
civil en los Tribunales, en la Agencia Española de Protección de Datos y
en el SEPBLAC.
Vimos en un apartado anterior, al
hablar de los expedientes de la AEPD, que en los temas de usurpación de
identidad existen dos requisitos que la empresa debe superar antes de que el
expediente sancionador de la Agencia quede archivado sin sanción:
- Resulta
necesario manifestar expresamente que el tratamiento de los datos se
inició sin conocimiento de la suplantación de la identidad, y además, que
la AEPD o el propio denunciante no demuestren lo contrario, primando en
estos supuestos la presunción de inocencia.
- Resulta
necesario demostrar también que en la identificación de los clientes hubo
una diligencia razonable por parte de la empresa.
En las relaciones de negocio y
operaciones no presenciales ambos criterios siguen siendo válidos pero, para
justificar la diligencia razonable habrá que tener en cuenta que la Ley 10/2010
exige para estas relaciones de negocio y operaciones no presenciales medidas
reforzadas de diligencia debida.
Por tanto, la identificación formal de
los clientes bajo el criterio autorizante del Artículo 12, punto 1-b, cuando la
contratación se realiza a través de medios telefónicos, electrónicos o
telemáticos, deberá venir acompañada de medidas reforzadas de
diligencia debida.
La determinación de estas medidas es un
tema de debate, por lo que seguidamente voy a exponer las que creo que
deben aplicarse, y que deduzco de las sentencias de los tribunales y de
la interpretación de la AEPD de esas mismas sentencias con ocasión de
procedimientos abiertos por la Agencia a partir de denuncias por usurpación de
identidad.
Las medidas reforzadas de diligencia debida serían las
siguientes:
Primera: Solicitud del consentimiento
para el proceso de comprobación de la veracidad de los datos aportados por los
clientes que contraten a través de medios telefónicos, electrónicos o
telemáticos.
El artículo 6 de la Ley Orgánica 15/1999
de Protección de Datos de Carácter Personal no exige el consentimiento
cuando el tratamiento de los datos de carácter personal se refiera a las partes
de un contrato o precontrato de una relación negocial, laboral o
administrativa y sean necesarios para su mantenimiento o cumplimiento, pero al
exigir la Ley 10/2010 que en las relaciones de negocio y operaciones no
presenciales se apliquen medidas reforzadas de diligencia debida, el consentimiento debería solicitarse para el
proceso de comprobación de la veracidad de los datos que aportan los clientes,
puesto que para ello resulta obligado el acceso a bases de datos externas en
las que este requisito resulta imprescindible.
Segunda: Comprobación de la veracidad de
los datos aportados por los clientes, mediante la utilización de
plataformas tecnológicas y bases de datos internas y externas.
El proceso de comprobación de la
veracidad de los datos aportados por los clientes, entre los que se encuentran
los datos de identificación, ha de iniciarse desde el momento en que se produce
la contratación por medios telefónicos, electrónicos o telemáticos, sin esperar
a la recepción en el plazo de un mes, de la copia de los documentos
identificativos enviados por los clientes, y que son necesarios para practicar
la diligencia debida.
La exigencia de la verificación de los
datos aportados por los clientes, como medida reforzada de diligencia debida en
las relaciones de negocio y operaciones no presenciales, viene justificada en
el tercer párrafo del Artículo 12 de la Ley 10/2010, que dice lo siguiente:
“Cuando se aprecien discrepancias entre
los datos facilitados por el cliente y otra información accesible o en poder
del sujeto obligado, será preceptivo proceder a la identificación presencial”
Para apreciar discrepancias, por tanto,
resulta obligatorio investigar los datos aportados por los clientes,
confrontándolos con otra información accesible o en poder del sujeto obligado,
y sin esperar a la recepción de las copias de los documentos oficiales de
identificación.
Ello obliga a las empresas que contraten
por medios telefónicos, electrónicos o telemáticos, a disponer de una mínima
tecnología que les permita el acceso a bases de datos compartidas de prevención
del fraude y plataformas tecnológicas con esta misma finalidad, para lo que les
resultará imprescindible el consentimiento de los clientes, si la AEPD no tiene
flexibilizada esta interpretación en cada caso, en base al interés legítimo.
La identificación presencial será
exigible desde el momento en el que las empresas aprecien discrepancias
entre los datos facilitados por los clientes y otra información accesible
o que esté en su poder.
La utilización de plataformas
tecnológicas y bases de datos internas y externas para la comprobación de los
datos aportados por los clientes, resulta difícil de probar, si no se tienen
establecidas previamente políticas y procedimientos para afrontar este riego,
tal como lo exige el punto 2 del Artículo 12, y los mismos hayan sido
previamente autorizados por el SEPBLAC.
Esta segunda medida ha sido
específicamente definida en el Art. 21.1 d, del Reglamento en los siguientes
términos:
“La identidad del cliente quede
acreditada mediante el empleo de otros procedimientos seguros de identificación
de clientes en operaciones no presenciales, siempre que tales procedimientos
hayan sido previamente autorizados por el Servicio Ejecutivo de la Comisión de
Prevención del Blanqueo de Capitales e Infracciones Monetarias (en adelante,
Servicio Ejecutivo de la Comisión).”
Tercera: El expediente de investigación
para justificar la aplicación de las medidas reforzadas de diligencia debida.
Todo cliente contratado mediante medios
telefónicos, electrónicos o telemáticos, debería contar con un expediente
virtual de verificación de datos, que contaría como primer documento con el
consentimiento para la verificación de la información mediante el acceso a
bases de datos internas y externas.
En los casos de denuncias por usurpación
del estado civil, corresponde a las entidades denunciadas acreditar
fehacientemente que cuentan con ese consentimiento, aunque sea el viciado
otorgado por los suplantadores, sobre todo cuando en los procedimientos
judiciales o administrativos los verdaderos titulares de las identidades suplantadas
niegan haberlo otorgado, y las entidades tuvieron que acceder a bases de
datos externas que contienen los datos de carácter personal de los verdaderos
titulares.
En la verificación de datos en las bases
de la Tesorería General de la Seguridad Social, procedimiento actualmente
utilizado por las entidades financieras, este consentimiento hasta ahora se
exige de forma independiente a cualquier otro, y mediante un
texto literal determinado por la propia TGSS.
Junto al consentimiento o consentimientos,
el expediente electrónico debe contener también los justificantes documentales
en formato virtual, aportados por las plataformas tecnológicas que hicieron la
verificación, así como los documentos utilizados para la identificación formal,
en soporte óptico, magnético o electrónico que garantices su integridad, la
correcta lectura de los datos, la imposibilidad de manipulación y su adecuada
conservación y localización, tal como exige el Artículo 25.2 de la Ley 10/2010.
Igualmente deberían quedar archivados
los rastros dejados por la contratación telefónica (grabaciones), electrónica o
telemática (IP), lo que no siempre resulta posible en aquellas entidades que no
cuidan de forma efectiva este tipo de archivos documentales.
La
actuación de las empresas ante la usurpación de la identidad
En las defraudaciones con usurpación de
identidad, los delincuentes actúan procurando dar apariencia de veracidad a la
documentación identificativa que aportan en el momento de la contratación de
los créditos, la apertura de las cuentas bancarias o el establecimiento de las
relaciones de negocios. Las entidades afectadas, al desconocer las
circunstancias delictivas de la contratación, proceden de la forma usual al
tratamiento interno de los datos personales de los titulares de las identidades
suplantadas. Cuando se producen los impagos ceden estos datos a los ficheros de
morosidad.
La cesión de estos datos de carácter
personal a los ficheros de morosidad es legítima en base al
incumplimiento de las obligaciones derivadas de los contratos, pero dejará de
serlo cuando las entidades tengan conocimiento, por cualquier medio, de
que han sido estafadas mediante suplantaciones de identidad.
En el momento en que las entidades
tengan noticias de una posible suplantación de identidad, deberán hacer todo lo
necesario para comprobar la veracidad de la suplantación y en caso positivo,
informarán al Responsable del Fichero de Solvencia para evitar así que se hagan
nuevas comunicaciones al titular de la identidad suplantada, regularizando
internamente la deuda a la espera de la correspondiente resolución judicial.
Puesto que la suplantación de identidad
constituye un riesgo evidente, las entidades han de disponer de un sistema
adecuado para el ejercicio de los derechos que se establecen en la legislación
sobre protección de datos de carácter personal, asesorando a las víctimas de
las suplantaciones sobre los documentos que deben aportar para justificar su
reclamación, entre los que estará la copia de la denuncia efectuada ante las
autoridades.
Inmediatamente que las entidades tiene acceso
a la documentación identificativa de los verdaderos titulares de las
identidades suplantadas (documentación indubitada), deberían iniciar el
examen comparativo con las documentaciones aportadas por los suplantadores
(documentación dubitada), como fotocopias de DNI o Tarjetas de Extranjero,
permisos de trabajo, nóminas, copias de cartillas o cuentas bancarias, etc.,
procediendo a la baja de las identidades usurpadas en los ficheros de morosidad
sin esperar a la resolución judicial, e informando a las autoridades judiciales
de las gestiones realizadas, al mismo tiempo que denuncian a los autores por si
resultaran identificados, agilizando de esta manera el procedimiento judicial.
Este trabajo de investigación interna
puede ser efectuado perfectamente por el Departamento de Prevención del Fraude,
que se valdrá del asesoramiento técnico de especialistas en documentoscopia si
resultara necesario.
No hay comentarios:
Publicar un comentario