Sanción por suplantación de identidad en una red social

Mediante resolución del pasado 27 de julio de 2011 (R/01716/2011), la Agencia Española de Protección de Datos, sancionaba a una usuaria de la red social Badoo por suplantar la identidad de otra persona, con 2.000 euros. Lo innovador de la resolución, que crea un precedente en la línea de su procedimientos sancionadores, es que por primera vez es este organismo quien entra a sancionar hechos de esta naturaleza a un usuario particular, además del fondo mismo del procedimiento, más propio de la jurisdicción penal, donde sí existen sentencias en este sentido. La Agencia entiende en su resolución que se vulnera el principio de consentimiento para el tratamiento de los datos personales, recogido en el artículo 6 de la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal, calificando los hechos como infracción grave.

La Agencia reicibió denuncia de una particular en el que se manifestaba que reicibía llamadas telefónicas a su nñumero móvil relacionadas con un supuesto perfil suyo en la red social Badoo. En el mismo aparecían fotografías suyas además de texto invitando a tener relaciones sexuales con hombres entre los 22 y 40 años de edad, así como referencias a determinadas preferencias sexuales de la demandante. Cabe recordar que el concepto de dato de carácter personal incluye, entre otros, el nombre de una persona junto con su número de teléfono o a cualquier otra información relativa a sus condiciones de trabajo o aficiones, afirmación de la que Tibunal de Justicia de las Comunidades Europeas deduce, en su sentencia de 6 de noviembre de 2003 (asunto C-101/01), que “la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones profesionales y a sus aficiones, constituye un tratamiento total o parcioalmente automatizado de datos personales, en el sentido del artículo 3, apartado 1 de la Directiva 95/46″.

Una vez identificada la sociedad que gestionaba la red social afectada, cuya sede se encuentra en Larnaca (Chipre), la Agencia requirió la mediación de la Autoridad chupriota de protección de datos, obteniendo los datos de navegación del usuario en el proceso de creación el citado perfil falso, con la colaboración de la citada red social. Una vez localizada a través de la dirección IP, el proveedor de servicios, se comprobó que la línea telefónica pertenecía a la suplantadora, coincidiendo que la denunciante había manifestado sus sospechas de quien podría estar detrás de la acción, la actual pareja de su ex-pareja. El perfil creado por la denunciada fue dado de baja tras comparecer la denunciante ante la Guardia Civil antes las multiples llamadas ofensivas recibidas.

Debe señalarse que la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, exige que los operadores que conserven, con respecto al acceso a Internet, el nombre y dirección del abonado o del usuario registrado al que se le ha asignado en el momento de la comunicación una dirección de Protocolo de Internet (IP), una identificación de usuario o un número de teléfono.

El tratamiento de datos de carácter personal sin el correspondiente consentimiento de los afectados, tal y como recoge la Resolución de la Agencia, constituye una vulneración al derecho fundamental a la protección de datos, obviando el consentimiento del interesado sobre la recogida y tratamiento de los datos, así como el conocimiento de los mismos.

Ante tales circunstancias, la Agencia Española de Protección de Datos acordó imponer a la denunciada una sanción de 2.000 Euros, por una infracción del artículo 6 de la Ley Orgánica de Protección de Datos, tipificada como grave en el artículo 44.3.b), por entender que la denunciada había tratado los datos de carácter personal de la persona suplantada sin recabar su consentimiento conforme exoge la propia Ley Orgánica.

Las principales redes sociales han habilitado mecanismos de control, para poder denunciar suplantaciones de la identidad. Tal es el caso de Twitter, que establece que “El usuario no podrá suplantar la personalidad de otros a través de los servicios de Twitter de manera que realmente confunda o engañe a otros, o intente hacerlo”.

Cabe recordar que España encabeza, junto con Bulgaria, el ranking de países europeos con mayor porcentaje de víctimas de suplantaciones de identidad on-line, según el informe publicado por Eurostat en febrero de 2011. La citada resolución, además de generar dudas sobre la idoneidad del órgano administrativo para entender de conductas delctivas, abre la puerta al conocimiento de las mismas por parte de la Agencia Española de Protección de Datos, llenando un vacío jurídico que actualemnte tiene nuestro ordenamiento sobre la tipificación de conductas como la referida.

Esta conducta delictiva, no sólo afecta a las propias personas físicas, cabe recordar los perfiles creados tras la desaparición de Marta del Castillo en diferentes redes sociales, los personajes públicos o incluso las propias instituciones no estan libres de estas acciones. Casos de impacto en diferntes medios de comunicación, como el de la Secretaría de Estado de Comunicación en 2010, que denunciaba desde su Twitter @desdelamoncloa, la suplantación de identidad que se estaba haciendo desde el perfil ya suspendido @LAMONCLOAnews; o los referidos a la Infanta Elena (@Infanta_Elena) o el Rey Don Juan Carlos (@ReyJuanCarlosI), en ambos casos se utilizaba el nombre de los afectados y su fotografía, haciéndose pasar por los afectados.