La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.

En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.

Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.

También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.

En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.

El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.

Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.

Comparte esta entrada: Twitter Facebook Google+ LinkedIn