La suplantación de identidad, en el marco del comercio y la contratación electrónica, es una actividad cada vez más común y lesiva para las empresas y consumidores.
La suplantación de identidad consiste en ocupar de mala fe el lugar de alguien con la finalidad engañar a terceros, obtener bienes y servicios con cargo a la persona suplantada, o incurrir en otras conductas delictivas.
Mediante la suplantación de identidad terceros obtienen créditos, adquieren productos o servicios en nombre de la persona suplantada y está última es la afectada pues ve lesionado su buen nombre al ser objeto de reportes negativos en bases de datos crediticios.
Protección de Datos
En materia de protección de datos, la suplantación de identidad implica que:
- Se realiza un tratamiento sin contar con la autorización del titular;
- La información tratada no es veraz ni comprobable; y
- Se incumplió con el deber de los responsables no permitir consulta, uso o acceso no autorizado o fraudulento a los datos personales de la persona suplantada. (Superintendencia de Industria y Comercio, Resolución Número 9091 de 2019).
Obligaciones ante el tratamiento de datos
Por ello, el ordenamiento impone a los responsables del tratamiento o fuentes de información el deber de identificar plenamente al titular, en aras de verificar que quien proporciona los datos personales se encuentra legitimado para hacerlo.
En el año 2021, el principal motivo por el cual los colombianos acudieron a la plataforma “SIC Facilita” fue la suplantación de la identidad de los titulares.
Superintendencia de Industria y Comercio (2022). Más de 28 mil quejas recibió la Superintendencia en 2021. Recuperado de https://www.sic.gov.co/slider/m%C3%A1s-de-28-mil-quejas-recibi%C3%B3-la-superindustria-en-2021-por-protecci%C3%B3n-de-datos-personales
Procesos ante la suplantación de identidad en el tratamiento de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países.
Las fuentes de información tienen el deber de garantizar que la información suministrada a los operadores sea veraz, completa, exacta y comprobable.
La administración de datos personales se encuentra regido por un deber de objetividad (Corte Constitucional, Sentencia C-1011 de 2008). La suplantación de identidad lesiona el principio de veracidad, en la medida de que la información tratada no es veraz respecto de la persona suplantada. La información no puede ser parcial, incompleta, fraccionada o inducir al error. En consecuencia, la fuente debe contar con plena prueba de la existencia de la obligación reportada. Sin esta, la información reportada no es comprobable y, por lo tanto, debe ser eliminada preventivamente de las bases de datos de los operadores. (Superintendencia de Industria y Comercio, Resolución Número 11007 de 2021).
Cuando el titular disputa la veracidad de la información reportada porque desconoce haber contraído la obligación y la fuente no cuenta con plena prueba de la existencia de la misma, esta debe remover los reportes. De no hacerlo, la fuente infringe su deber de garantizar que la información suministrada a los operadores de datos sea veraz, completa, exacta, actualizada y comprobable. (Ley 1266 de 2008, artículo 8)
Por ello, la Superintendencia de Industria y Comercio (SIC) ha ordenado, en repetidas ocasiones, la eliminación de la información registrada en las bases de datos de los operadores cuando la fuente no puede probar la veracidad de la información reportada. Por lo tanto, es deber de las fuentes de información, vigiladas por la SIC, “implementar mecanismos apropiados, efectivos y verificables para establecer la real identidad de las personas con mirar a evitar situaciones de suplantación de identidad” (Superintendencia de Industria y Comercio, Circular Básica, Título V, Núm. 1.3.1).
Por otra parte, la suplantación de identidad también implica que la fuente de información ha realizado un tratamiento de datos sin la autorización del verdadero titular. Lo anterior, en principio, es un incumplimiento de su deber de asegurarse de no suministrar a los operadores de información algún dato cuyo suministro no este autorizado por el titular. En ese sentido, las fuentes de información vigiladas por la SIC deben identificar plenamente al titular en el momento en que se otorgue dicha autorización. (Superintendencia de Industria y Comercio, Circular Básica, Título V, Núm. 1.3.3).
Suplantación de identidad en el tratamiento de datos personales regido por la Ley 1581 de 2012
Al igual que en el tratamiento de información financiera, crediticia, comercial, de servicios y provenientes de terceros países, el responsable debe garantizar que la información sea veraz, completa, exacta, actualizada, comprobable y comprensible. De igual modo, debe cerciorarse que “quien le suministra información está legitimado porque, de lo contrario, se estaría avalando que terceros suministren datos de otras personas a empresas sin observar lo que ordena la ley”. (Superintendencia de Industria y Comercio, Resolución Número 47280 de 2021).
El tratamiento de datos personales, en casos de suplantación de identidad, lesiona el principio de libertad, según el cual el tratamiento solo puede ejercerse con el consentimiento previo, expreso e informado del titular. La SIC ha considerado que constituye una infracción al régimen de datos personales cuando se realiza un tratamiento con base en una autorización suministrada por un tercero y no por el titular. (Superintendencia de Industria y Comercio, Resolución Número 55739 de 2022).
Según el principio de responsabilidad demostrada, los responsables del tratamiento deben encontrarse en capacidad de demostrar, a petición de la autoridad competente, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la ley.
En ese sentido, los responsables deben generar políticas que implementen los principios que rigen el tratamiento de datos personales, donde se establezcan reglas sobre la recolección, almacenamiento, uso, circulación y supresión o disposición final de la información personal, incluyendo los requisitos para obtener la autorización de los titulares. Asimismo, los responsables deben identificar y medir los riesgos asociados a la suplantación de identidad a los que se ven expuestos los datos personales, así como diseñar acciones de control y/o mitigación de los riesgos identificados. (Superintendencia de Industria y Comercio, Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability), numeral 2.4).
Conclusión
En síntesis, los responsables del tratamiento y las fuentes de información se encuentran obligados a implementar mecanismos que garanticen la identificación plena del titular, de modo tal que no realicen tratamiento sobre datos que fueron proporcionados por terceros no legitimados para hacerlo. Asimismo, el tratamiento de datos personales en casos de suplantación de identidad constituye una vulneración al derecho al habeas data de los titulares; por lo tanto, este debe cesar una vez se tenga conocimiento de la suplantación.
Recomendamos las siguientes acciones encaminadas a garantizar el cabal cumplimiento de la regulación:
- Implementar mecanismos que permitan la identificación del titular en el momento en que este proporciona sus datos personales. La selección del mecanismo de identificación debe hacerse teniendo en cuenta los datos personales a tratar, el método de recolección, la finalidad del tratamiento y los riesgos inherentes a este.
- Incluir, dentro de la política de gestión de datos de la organización, medidas comprobables y efectivas para tramitar solicitudes de rectificación en eventos de suplantación de identidad.
- Elaborar un sistema de administración de riesgos asociados a la usurpación de identidad en el tratamiento. Para ello, se deben identificar y medir los riesgos a los que están expuestos los datos personales, así como diseñar acciones de control y/o mitigación de los riesgos identificados.