La Agencia Española de Protección de Datos (AEPD) sancionó en el año 2017 a una empresa de servicios financieros que ofrece sus productos en línea por el hecho de conceder un microcrédito a través de internet a una persona que suplantó la identidad de otra, presentando el DNI de un tercero en el momento de la solicitud del crédito.
La concesión del crédito tuvo lugar a nombre del tercero suplantado y, como consecuencia del posterior impago del contrato, el tercero ajeno a todo el procedimiento de contratación, fue incluido en un listado de morosidad por parte de la sancionada.
Ante ello y al tener conocimiento de la inclusión en dicho listado, el tercero interpuso una reclamación ante la AEPD por considerar que había existido un tratamiento ilícito de sus datos personales por parte de la empresa sancionada. Esta consideración fue confirmada posteriormente por la AEPD que interpuso la sanción por un doble incumplimiento de la normativa de protección de datos:
- Tratamiento de datos personales sin contar con el consentimiento válido del interesado.
- En relación con la calidad de los datos, falta de cumplimiento de las exigencias de exactitud y veracidad de los datos.
La sanción fue objeto de recurso por parte de la entidad de servicios financieros hasta llegar a manos del Tribunal Supremo que, finalmente, ha resuelto ratificando la sanción de la AEPD considerando que, en efecto, no se actuó con la diligencia necesaria para garantizar un uso legítimo de los datos, en la misma línea de lo establecido ya por la autoridad española de protección de datos.