La Agencia Española de Protección de Datos ante la suplantación de identidad: responsabilidad, diligencia y trazabilidad documental

La Agencia Española de Protección de Datos ante la suplantación de identidad: responsabilidad, diligencia y trazabilidad documental

💥La suplantación de identidad en entornos digitales plantea desafíos jurídicos y operativos que afectan directamente a la protección de datos personales. La Agencia Española de Protección de Datos (AEPD), como autoridad de control, ha consolidado criterios que equilibran la presunción de inocencia del denunciado con la exigencia de diligencia razonable por parte de las entidades responsables del tratamiento.

1. Presunción de inocencia y carga probatoria

La AEPD no sanciona por la mera existencia de una denuncia. Exige que se acredite:

• Que el tratamiento de datos se ha realizado sin legitimación.

• Que la entidad responsable no ha aplicado medidas suficientes para verificar la identidad del interesado.

• Que existe un perjuicio derivado del tratamiento indebido.

Este enfoque garantiza la seguridad jurídica y evita que el procedimiento sancionador se convierta en un mecanismo automático.

2. Diligencia razonable en la identificación

La diligencia exigible varía según el canal de contratación:

• Presencial: verificación directa de documentos, firma manuscrita, cotejo visual.

• No presencial: autenticación reforzada mediante firma electrónica, biometría, verificación documental automatizada.

La AEPD considera que la ausencia de medidas proporcionales en canales no presenciales puede constituir una infracción grave, especialmente si se produce un tratamiento sin consentimiento válido.

3. Marco normativo vigente

Desde la entrada en vigor del RGPD (Reglamento UE 2016/679) y la LOPDGDD 3/2018, se han reforzado los principios de:

• Licitud, lealtad y transparencia.

• Responsabilidad activa: el cumplimiento debe ser demostrable.

• Minimización y exactitud: los datos deben ser pertinentes y verificados.

La suplantación de identidad vulnera estos principios, y su prevención exige medidas técnicas y organizativas adecuadas.

4. Tecnología aplicada a la verificación de identidad

Las entidades pueden justificar su diligencia mediante:

• Sistemas de verificación documental con IA: que detectan inconsistencias, duplicidades o documentos falsificados.

• Biometría facial o dactilar: como mecanismo de autenticación reforzada.

• Firma electrónica avanzada: con trazabilidad y validación jurídica.

• Sistemas de scoring antifraude: que cruzan datos internos y externos para detectar patrones sospechosos.

Estas herramientas permiten acreditar que se han aplicado medidas proporcionales al riesgo.

5. Gestión documental y trazabilidad

El expediente electrónico del cliente debe incluir:

• Documentación de identificación.

• Consentimiento informado y registrado.

• Registro de verificaciones realizadas.

• Metadatos de acceso, modificación y consulta.

La trazabilidad documental es clave para responder ante requerimientos de la AEPD y para reconstruir la relación de negocios en caso de conflicto.

6. Actuación ante denuncias

Las entidades deben disponer de un protocolo interno que incluya:

• Recepción y análisis de la denuncia.

• Verificación de la documentación del expediente.

• Comunicación con el interesado.

• Coordinación con el Delegado de Protección de Datos (DPD).

• Respuesta formal ante la AEPD, con aportación de pruebas.

Este protocolo debe estar integrado en el sistema de cumplimiento normativo y revisado periódicamente.

📎 Referencia documental

Para quienes deseen consultar resoluciones recientes de la AEPD sobre suplantación de identidad y verificación documental, puede accederse al repositorio oficial de resoluciones en su página web:

🔗 Resoluciones de la AEPD

📌 Esta entrada actualiza el análisis publicado en noviembre de 2017 sobre la actuación de la AEPD ante la suplantación de identidad. Para quienes deseen contrastar ambos enfoques, pueden consultar la publicación original aquí.