El reclamante manifiesta la utilización de sus datos personales sin su consentimiento para contratar en su domicilio los suministros de gas, electricidad, además de un servicio de mantenimiento. Dichos contratos fueron dados de alta por el reclamado.

La AEPD considera probado que el reclamado utilizo los datos personales del reclamante para contratar los suministros de gas, electricidad y que dichos contratos fueron dados de alta por el reclamado.

Señala la Agencia que si se produce la contratación fraudulenta de un producto y el consentimiento para perfeccionar dicho contrato ha sido prestado por una persona distinta del titular de los datos (suplantación de identidad), no puede entenderse que exista consentimiento contractual por parte de este último, que resulta perjudicado.

En esta situación de fraude no se habría perfeccionado el negocio jurídico, lo que determinaría la inexistencia de legitimación para tratar los datos personales del interesado. Y ello porque, una vez suscrito el contrato, la base jurídica del tratamiento que legitima al contratista como responsable del tratamiento para tratar los datos personales del titular de estos en una contratación de un producto sería la prevista en el art. 6.1.b) RGPD.

La suplantación de identidad es un riesgo considerado específicamente por el legislador, según el considerando 75 RGPD y el art. 28 LOPDGDD, que impone a los responsables del tratamiento el despliegue de toda la diligencia debida para erradicarlo o minimizarlo, en el marco de su responsabilidad proactiva.

Este riesgo implica importantes riesgos, en consecuencia mayor diligencia, mayor reforzamiento de las medidas de seguridad para obtener un consentimiento contractual válido de su verdadero titular, máxime si puede involucrarse a menores de edad o personas vulnerables.

La identificación correcta de los clientes y la adopción de medidas diligentes para verificar su identidad cae entonces de lleno en el ámbito de la protección de los datos personales, porque, si no, se materializaría el riesgo de suplantación de identidad, que de forma probable puede concretizarse en este tipo de contrataciones.

La documentación que obra en el expediente evidencia que el reclamado, vulneró el art. 6.1 RGPD, toda vez que realizó el tratamiento y comunico sus datos personales sin legitimación para ello con el fin de dar de alta unos contratos de suministro de energía no solicitados por el reclamante, sin que haya acreditado que hubiese contratado legítimamente, dispusiera de cobertura legal para la recogida y el tratamiento posterior de sus datos personales, o existiese alguna otra causa que hiciese licito el tratamiento efectuado.

En consecuencia, se ha efectuado un tratamiento de los datos personales sin que haya acreditado que cuente la habilitación legal para ello.

Por tanto, la AEPD impone por una infracción del art. 6.1 b) RGPD, tipificada en el art. 83.5.a) RGPD, una multa de 6.000 euros (seis mil euros).

Resolución AEPD PS/00126/2021, de 3 de junio de 2021