Protección de Datos sanciona por suplantación de identidad en una red social
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.
En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.
Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.
También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.
En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.
El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.
Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.
Bueno seré el primero comentar….veo muy justita la justificación de la Agencia: la actuación yo creo que entra dentro del ámbito doméstico…es más, al final de la resolución se menciona que “y la falta de vinculación de la actividad de la infractora con la realización de tratamientos de datos de carácter personal, así como que es persona física.”
Además, la jurisprudencia del Supremo en relación a la “Doctrina de los Libros Bautismales” que, por ejemplo señala que “la propia Directiva 46/95 refiere el ámbito de la protección que regula al tratamiento del
dato, y en relación tanto con los tratamientos automatizados como respecto a los que no lo estén, siempre
que en este caso los datos estén contenidos o se destinen a encontrarse contenidos en un fichero, entendido
éste como un archivo estructurado según criterios específicos relativos a las personas que permitan acceder
fácilmente a los datos personales.” Es decir, para el Supremo, una cuestión fundamental es el fichero, cosa, que para mí, en este supuesto de Badoo, no se dá.
Saludos.
@Gontzal Gallo
Yo estoy de acuerdo con el razonamiento de la Agencia en cuanto a la excepción doméstica, razonamiento en el que siguen lo que opina el Grupo del Trabajo del Artículo 29: “La aplicación de la exención doméstica se ve también limitada por la necesidad de garantizar
los derechos de los terceros, especialmente por lo que se refiere a los datos sensibles” (Dictamen 5/2009 sobre las redes sociales en línea).
En cuanto al concepto de fichero, hay tratamiento automatizado, con lo que la no estructuración del archivo conforme a criterios relativos a personas es difícilmente defendible, en mi opinión.
Muchas gracias por tu comentario, Gontzal.
Buenas, David
Lo primero gracias por recordarme el debate en el que participé en el blog de David Maeztu. Ya tengo una edad y viene bien recordar algunas cosas que uno ha olvidado, sabes? ;-p
Estoy de acuerdo con la AEPD y contigo con respecto a la excepción de uso doméstico.
También estoy de acuerdo en lo referente a lo de que este tipo de acciones ilícitas no caben en el tipo de usurpación del estado civil. Por otra parte, aunque es un artículo bien chapucero y que debería haberse modificado hace ya tiempo o al menos con ocasión de la última reforma, pienso que pudiera haber sido aplicable el delito del art. 197.2 CP, pues entiendo existe perjuicio de tercero, la amiga de la suplantada y el novio de ésta, además de Badoo o Euskaltel dadas las gestiones realizadas para aportar las informaciones que les fueron solicitadas por las agencias de protección de datos. Es un caso a analizar, sobre todo porque no se acaba por conocer de dónde provienen los datos subidos al perfil, si bien es de suponer que hubo engaño o se obtuvieron de la misma u otra red social.
Con el anterior régimen sancionador estaríamos simultáneamente ante una infracción muy grave por cesión inconsentida, siendo que debiera haberse aplicado la mayor de las dos sanciones dado que al mismo tiempo de subir el perfil (tratamiento sin consentimiento) se estaría compartiendo con terceros su contenido (cesión sin consentimiento). Por otra parte, de nuevo, no lo sabemos, pero pudiera que la recogida de los datos se hubiera producido de forma engañosa y fraudulenta siendo también ahora con el nuevo régimen de sancionador una infracción muy grave, aunque cabiendo el apercibimiento.
Buen post
Un saludo
@Álvaro Del Hoyo
Mucha gracias por tu comentario, Álvaro. El debate que hemos recordado sobre la conservación de datos es muy interesnte y toca todos los aspectos a tener en cuenta, ha sido un placer releerlo.
En cuanto a la aplicación del artículo 197.2, ahí discrepo (en algo teníamos que discrepar): podría aplicarse, pero para ello sería necesario que hubiera habido previamente un acceso ilícito a esos datos y lo más normal en este caso es que simplemente los conociera o los tuviera lícitamente, dada la relación que había entre los “protagonistas”.
Un saludo.
Y todo ello, de nuevo teniendo muy claros los hechos concretos, sin dejar de lado la posibilidad de que se entiendan como ilícitos civiles por vulneración del derecho al honor y de un posible delito de injurias
No puedo localizar la sentencia de la Audiencia Provincial de Segovia que se cita aquí:
http://www.expansion.com/2011/10/26/juridico/1319640955.html?a=38b4a3be704052f3c545aaa27fd5651d&t=1319678736
A mí lo que me parece aluciante son los aires que se da la AEPD de órgano jurisdiccional. Efectivamente, hay tratamiento de datos de un tercero, pero no queda suficientemente claro que no pueda aplicarse la excepción del tratamiento doméstico. Este tipo de acciones deberían entrar dentro del ámbito de la ley del derecho al honor.
Saludos.
@AD EDICTUM
Bueno, no es que no quede claro que no se pueda aplicar la excepción doméstica, es que ni se lo plantean, supongo que porque la denunciada ni lo alegó (hay que ponerse en manos de profesionales
), aunque como digo en el post, creo que la resolución debería haber entrado en ello, igual que se argumentan miles de veces las mismas cosas repetidas en muchas resoluciones, en este caso esta argumentación era más que necesaria.
En cuanto a la protección del derecho al honor, seguramente se pueda utilizar esa vía, pero no es excluyente: por un lado se exigirá una cesación de la actuación y una indemnización, por otro, si se aplica la LOPD (dejemos ese debate de momento), hay una infracción administrativa. De hecho, tampoco es excluyente utilizar las acciones que permite la LO 1/82 con la existencia de hechos delictivos.
Un saludo y gracias por comentar.
@Álvaro Del Hoyo
La Sentencia de la Audiencia Provincial de Segovia no condenaba por suplantación, en ese caso la suplantación fue un mero medio para la comisión de otro delito. No es exacto, por tanto, lo que se dice en el artículo enlazado.
Un saludo.
Creo en el caso de esa sentencia ejercieron acciones derivadas de la ley de derecho al honor (civiles o penales, no lo tengo a mano), que es el cauce lógico, aunque no resulta incompatible, como dice D. David, con la denuncia ante la Agencia.
Desde un punto de vista práctico, a un cliente al que le abran un perfil falso, le recomendaría denunciar en todo caso a la AEPD: Total, se trata de empapelar al contrario. Si le cae una multa de la Agencia, estupendo. Y si no, por lo menos, le obligas a contestar alegaciones y le acojonas.
Desde un punto de vista meramente teórico, me parece que la AEPD actúa con aires de órgano judicial y atrae compentencias que no tiene, generando indefensión e inseguridad jurídica. Pero qué más da. La protección de un derecho fundamental de séptima generación (que parece que es el único que existe en la constitución y en su artículo 18) merece acabar con las garantías procesales y la separación de poderes. Con un par, pide a los operadores que le remitan los datos de las IPs desde las que se hacen las conexiones. Y se los dan.
@Ad Editum
Con lo de los aires de la AEPD estoy de acuerdo, pero: hay datos personales (estaremos de acuerdo, ¿no?), hay un tratamiento (estaremos de acuerdo, ¿no?), luego se aplica la LOPD, salvo que su aplicación esté excluida, con lo que hay que argumentar por qué no se aplica la exepción doméstica. Entre otras cosas, habría que argumentar por qué en una red social se aplica la excepción y en cualquier otro servicio web no.
Lo de la cesión de los datos de los operadores es otro cantar. Yo ahí tengo más dudas, pero lo que tendrían que hacer los afectados es denunciar a la operadora por ceder los datos sin consentimiento (y llegar a la AN, claro, porque la Agencia supongo que entederá que están obligados).
Estoy de acuerdo en su análisis de la resolución. Yo lo que critico es la postura de la Agencia, que efectivamente no aclara qué debe entenderse por actividades domésticas.
Oiga, es que datos personales hay en todas partes y en muchos delitos. Eso no significa que Monsieur le Directeur deba meterse por medio en todos ellos. Por ejemplo, también hay tratamientos de datos de carácter personal en los delitos de pornografía infantil, distribuida através de Internet, pero yo no creo que la AEPD sea la autoridad ante la que se deba discutir la culpabilidad de un individuo por tales cargos.
@Ad Editum
En eso tiene usted razón, pero es que en el caso que nos ocupa no hay delito alguno
@David González Calleja
Por cierto, ha puesto su nombre de tal forma, que parece el portavoz del Gobierno :p