La AEPD impone dos sanciones ante denuncias por supuestas suplantaciones de identidad
Hoy hablaremos de dos sanciones impuestas por la Agencia Española de Protección de Datos, que aun siendo similares en el hecho denunciado, contienen diferencias sustanciales que tienen su reflejo en la resolución emitida. Las Resoluciones analizadas son la02108/2010y la00343/2017.
Suplantación de identidad
En ambos casos nos encontramos ante denuncias por supuestas suplantaciones de identidad que, además, cuentan con el posibletratamiento de datosespecialmente protegidos. Pero antes de revisar las similitudes y diferencias, vamos a hacer un pequeño resumen de los hechos. En el primer caso se trata de varias altas en nombre del afectado en un portal destinado al establecimiento de relaciones personales del público homosexual, mientras que el segundo es el alta en una web de contactos sexuales. En ambos casos el resultado es que los afectados han visto sus datos personales publicados en estos medios sin haber tenido ningún tipo de relación previa con estos portales.
Durante la investigación de ambos casos, laAEPDse ha centrado en dos puntos fundamentales, por un lado la identificación del sujeto responsable y por otro la existencia o no de un tratamiento de datos personales especialmente protegidos y por lo tanto la posible existencia de un incumplimiento calificado como muy grave de la LOPD.
En busca del responsable
Pues bien, para la identificación del responsable la AEPD se ha centrado en la investigación de la IP de los equipos, encontrando aquí la primera diferencia entre los dos casos analizados y que finalmente deriva en una de las diferencias fundamentales de ambas resoluciones, el sujeto sancionado y por tanto el incumplimiento aplicado. En el primero de los casos, se demuestra que la IP utilizada para realizar las altas fraudulentas corresponde a un cibercafé, no pudiendo por tanto identificar a un sujeto individual, mientras que en el segundo caso sí se identifica un abonado, persona física. Este hecho resulta fundamental y es que al no poder identificar al sujeto que realizó la suplantación, la AEPD se centra en el portal y en que el mismo carece de las medidas necesarias dirigidas a autenticar al usuario antes de confirmar la incorporación del perfil con sus datos, es decir, no cuenta con un sistema de doble confirmación de identidad como por ejemplo el envío de un email para que confirme su alta en el servicio.
De lo anterior deriva que en el primero de los casos la AEPD imputa al portal un incumplimiento de las medidas de seguridad exigidas en elartículo 9 de la LOPD, concretamente incumplimiento de las medidas de control de acceso e identificación y autenticación, mientras que en el segunda caso en ningún momento se imputa a la web (aun habiendo quedado claro que tampoco contaba con las medidas antes reseñadas), dirigiéndose directamente contra la persona física identificada por la IP del equipo.
Datos protegidos
En cuanto a la existencia o no de datos especialmente protegidos, en el primero de los casos la AEPD entiende que por el hecho de que se conteste a determinadas preguntas cuando el ciudadano intenta darse de alta en el portal permitiendo así que la búsqueda de contactos personales que se adapten mejor a sus preferencias de vida sexual, es indicio claro de la existencia de datos especialmente protegidos. Parece un razonamiento lógico, pero delimitar la existencia de estos datos a un formulario o cuestionario es más discutible, y es que en el segundo de los casos, donde no hay cuestionario, pero el contenido de los anuncios puede ser suficientemente explicito en cuanto a su contenido, no parece razón suficiente para la AEPD para calificarlo como dato especialmente protegido ya que en ningún momento de la Resolución se hace mención alguna a este tipo de datos.
En definitiva, nos encontramos con dos casos similares en los que la delimitación del sujeto responsable, hace que el resultado de las Resoluciones cambien sensiblemente. El resultado, sanción de 90.000€ a la plataforma por incumplimiento del artículo 7.3, mientras que en el segundo caso se sanciona únicamente a la persona tras la IP por infracción del artículo 6.1 con 6.000€.
