Tribunal Supremo, Sala de lo Contencioso-administrativo, Sentencia 1456/2021, 13 Dic. Recurso 6109/2020 (LA LEY 244479/2021)
Para el Supremo, la intervención fraudulenta de un tercero, que suplanta la identidad de otra persona en una contratación on line, no excluye que la empresa contratante, que es quien lleva a cabo el tratamiento de los datos personales, pueda incurrir en infracción por falta del necesario consentimiento inequívoco que exige el art. 6 de la LO 3/2018 (LA LEY 19303/2018)
, de 5 de diciembre, y ello porque la intervención fraudulenta de un tercero no implica por sí misma que la empresa contratante haya actuado con la diligencia suficiente.
Ahora bien, ello no implica que sea responsabilidad de la empresa contratante impedir que se produzca un hecho ilícito o delictivo, como es la utilización fraudulenta de un DNI por parte de quien no es su titular, sino que lo que le resulta exigible, como diligencia necesaria para que no se le pueda reprochar el incumplimiento de sus obligaciones en materia de protección de datos de carácter personal (tanto en lo que se refiere a la exigencia de consentimiento del interesado como en lo relativo al principio de veracidad y exactitud de los datos), es la implantación de medidas de control y verificación tendentes a asegurar que la persona que pretende contratar es quien dice ser, esto es, que coincide con el titular del DNI aportado.
Por ello, el Supremo llega a la conclusión de que la empresa contratante no agotó la diligencia que le era exigible, pues si bien adoptó medidas de verificación, éstas solo tenían como finalidad asegurar el buen fin del contrato, en este caso un préstamo, pero no verificaban la veracidad y exactitud de los datos ni, en particular, que quien solicitaba el crédito era precisamente quien decía ser.
Llama la atención, además, que ni siquiera la línea de teléfono facilitada cuando se solicitó el crédito, ni el nombre, apellidos y NIF del titular de la línea coinciden con los datos personales del denunciante (titular del DNI); y la cuenta bancaria a la que fue transferido el importe del préstamo tampoco coinciden con los datos personales del denunciante, lo que justifica la proporcionalidad de la sanción de 60.000 € que fue impuesta.
Para la Sala, cuando un tercero utilice indebidamente un DNI sustraído o extraviado para realizar una compra o solicitar un crédito on line, se está ante un tratamiento inconsentido de los datos personales del titular del documento, aunque éste hubiese denunciado en su día ante las autoridades la pérdida o sustracción de su DNI, si ninguna de las medidas enunciadas y llevadas a cabo por la empresa contratante aparece mínimamente orientada a impedir o dificultar que ese resultado se produzca.
En definitiva, la intervención fraudulenta de un tercero no basta para enervar las exigencias legales de que el interesado preste su consentimiento para la utilización de sus datos, y de que estos sean tratados con observancia de los principios y garantías legalmente establecidos.