Condena a la Agencia Española de Protección de Datos por no responder una reclamación


El deber de la AEPD de investigar adecuadamente las reclamaciones
La Audiencia Nacional ha determinado que la Agencia Española de Protección de Datos (AEPD) incumplió su deber de investigación al no actuar con la diligencia requerida para examinar los hechos denunciados, una clara vulneración de los derechos del reclamante. Según el tribunal, la Agencia debería haber investigado de forma exhaustiva las circunstancias denunciadas, dado que existían indicios de un incumplimiento claro de lo establecido en el artículo 4.3 de la Ley Orgánica de Protección de Datos (LOPD). Dicho artículo obliga a que los datos personales tratados por terceros sean exactos y actualizados, y no sean utilizados de manera indebida, como ocurrió en este caso de suplantación de identidad.
Además, la AEPD no realizó actividad probatoria suficiente para determinar si el afectado había prestado su consentimiento para el tratamiento de sus datos, tal como exige el artículo 6.1 de la LOPD, que establece que el tratamiento de datos personales solo es lícito cuando el titular ha otorgado su consentimiento expreso. Tampoco se comprobó si la compañía de telefonía había cumplido con su deber de notificar al ciudadano sobre su inclusión en el registro de morosos, conforme a lo dispuesto en el artículo 40 del Real Decreto 1720/2007, que regula el desarrollo de la LOPD.
La importancia del consentimiento en el tratamiento de datos
Uno de los pilares fundamentales del Reglamento General de Protección de Datos (RGPD), que complementa a la LOPD en el derecho español, es el requisito del consentimiento informado del titular para el tratamiento de sus datos personales. La obtención de dicho consentimiento debe ser clara, inequívoca y específica para cada caso de uso. En este contexto, la falta de verificación de la identidad del solicitante por parte de la compañía telefónica constituyó una grave infracción, ya que no solo permitió el uso fraudulento de los datos del reclamante, sino que también expuso su información personal a un tratamiento no autorizado, causando un perjuicio directo al ciudadano.
La falta de consentimiento o la ausencia de pruebas que demuestren que este fue recabado de manera adecuada coloca tanto a la empresa responsable del tratamiento de los datos como a la AEPD en una situación de responsabilidad. La Agencia tiene el deber de proteger los derechos de los ciudadanos en cuanto a la gestión y protección de sus datos personales, lo que incluye llevar a cabo las investigaciones necesarias cuando se denuncia un posible incumplimiento de las normativas de protección de datos.
Anulación parcial de la resolución de la AEPD
La Audiencia Nacional ha anulado parcialmente la resolución de la AEPD por considerar que no actuó conforme a los principios de la legislación en materia de protección de datos y derechos de los ciudadanos. La resolución del tribunal indica que la AEPD debió investigar más a fondo la denuncia y tomar medidas oportunas contra la compañía telefónica, que permitió el uso fraudulento de los datos personales del reclamante sin las debidas garantías de autenticidad.
El fallo judicial establece que la AEPD tiene ahora la obligación de revisar los hechos denunciados y proporcionar una respuesta adecuada a la reclamación, tomando las medidas necesarias para rectificar la situación. Esto implica que la Agencia deberá adoptar acciones correctivas frente a la empresa de telefonía, que no verificó la identidad del solicitante ni cumplió con los procedimientos legales necesarios para proteger los datos del reclamante. En concreto, la compañía debería haber adoptado medidas para garantizar que la persona que contrató el servicio fuera realmente quien decía ser, evitando así la suplantación de identidad.
Relevancia del fallo: Protección de derechos en materia de datos personales
Este fallo de la Audiencia Nacional no solo subraya la importancia de que la AEPD cumpla con su deber de investigar las reclamaciones de los ciudadanos de manera exhaustiva, sino que también pone de manifiesto el peso legal del consentimiento informado y la verificación de identidad en el tratamiento de datos personales. En un entorno donde los delitos de suplantación de identidad son cada vez más comunes, las empresas tienen la obligación legal de garantizar la protección de los datos personales y adoptar las medidas necesarias para evitar fraudes.
Además, el fallo envía un mensaje claro a la AEPD y a las empresas que gestionan datos personales: los derechos de los ciudadanos en materia de protección de datos son fundamentales y no deben ser desatendidos. Las personas tienen el derecho a conocer cómo se están utilizando sus datos, a otorgar su consentimiento para dicho uso, y a ser notificadas si sus datos son incluidos en ficheros de morosidad u otras bases de datos con consecuencias negativas.
Responsabilidad de la AEPD y derechos del reclamante
En este caso, la AEPD no solo tiene la obligación de investigar los hechos denunciados, sino también de garantizar que los derechos del reclamante sean plenamente restablecidos. El ciudadano que ha sido objeto de una suplantación de identidad, además de ver comprometidos sus datos personales, ha sufrido un grave daño reputacional al ser incluido en un registro de morosos sin justificación. Esta situación, además de afectar su acceso a productos financieros o servicios, puede causar daños morales y económicos significativos.
El fallo de la Audiencia Nacional es un recordatorio de la importancia de la protección de datos en el ámbito digital y de cómo las instituciones, como la AEPD, juegan un papel crucial en la defensa de los derechos fundamentales de los ciudadanos. La protección de los datos personales es una garantía de privacidad que debe ser preservada con rigurosidad, y cualquier infracción en este ámbito puede derivar en responsabilidad legal para las empresas y las administraciones.
La Audiencia Nacional, estimando parcialmente la demanda presentada por Castillo Calvín Abogados, ha condenado a la Agencia Española de Protección de Datos (AEPD) por no haber ofrecido una respuesta adecuada a una reclamación interpuesta por un ciudadano, quien denunció la utilización fraudulenta de sus datos personales para la contratación de una línea telefónica móvil. Según los hechos, la compañía de telefonía móvil en cuestión no verificó ni comprobó la identidad del solicitante, permitiendo que un tercero suplantara la identidad del reclamante, lo que derivó en su inclusión injusta en un registro de morosos, afectando gravemente su historial crediticio y su reputación.


C/ Montalbán, 3. 4º Dcha. 28014. Madrid
(Junto al Ayuntamiento de Madrid -Palacio de Cibeles)
C/ Carril del Picón, 3. 1º A. 18002. Granada
© 2024 Castillo-Calvín.

