La suplantación de identidad es una acción, tipificada en el Código Penal, asociada con el robo de identidad de una persona por parte del malhechor quien, haciéndose pasar por ella, simula ser la persona suplantada ( artículo 401 del Código Penal Español).

Lo primero que nos viene a la mente es el caso reproducido en la serie norteamericana Mad Men en la que su protagonista principal, el atractivo Don Draper, socio y director creativo de una de las principales agencias de publicidad en N.Y. en los años 70, desvela haber suplantado la identidad de otro militar fallecido durante su servicio militar en la Guerra de Corea. Este robo de identidad le permite iniciar una nueva vida.

La acción tipificada en el código penal es la de usurpar el estado civil de otro (caso Draper). Es decir, la situación estable o permanente en la que se encuentra una persona y que determina su capacidad de obrar. Es muy poco probable que hoy en día alguien nos suplante la identidad al estilo Don Draper, pero sí que es realmente fácil que alguno de nosotros suframos un ataque de suplantación de identidad digital. La diferencia radica en la falta de permanencia y propósito de usurpar “la plena personalidad global del afectado”, dice nuestro Tribunal Supremo.

¿Qué es la suplantación de identidad digital?

La suplantación de identidad digital o el robo de nuestra identidad en el marco de los servicios digitales normalmente va dirigida a posibilitar la comisión de otro delito o infracción, ya sea apropiarse de información confidencial, defraudar, calumniar, injuriar, amenazar, robar o apropiarse indebidamente de dinero de la persona suplantada. En definitiva, delinquir haciendo uso de nuestras credenciales digitales para facilitar y perpetrar el delito. Quizás encontramos un cierto amparo en el código penal en relación con estos delitos (véase revelación de secretos tipificado del 197) pero para ello debemos hacernos con las suficientes pruebas electrónicas que tengan plena eficacia jurídica para poder imputar el delito al suplantador de nuestra identidad.

Y aquí radica la cuestión crucial, ¿quién es el responsable de implementar las medidas de seguridad necesarias para preservar mi identidad digital o las pruebas? No cabe duda de que un aspecto extremadamente relevante es la suplantación de nuestra identidad profesional, lo que exige dar entrada en el juego a nuestra organización. En este caso, nos encontramos con una situación invertida, es decir, el perjuicio lo sufre prácticamente en su totalidad la organización, salvo el perjuicio reputación que sufre la propia persona. Dicen que el fraude online se ha convertido en una de las principales preocupaciones de las empresas españolas, dada la facilidad para crear un perfil online. Casos como el del fraude del CEO o el fraude de facturas nos vienen alertando en los últimos años.

Una vez más, la solución está en “nuestra casa- empresa”, aplicando medidas preventivas como, por ejemplo, protocolos de seguridad para la gestión de la identidad digital corporativa, sistemas de doble autenticación o autentificación múltiple, mecanismos de vigilancia y control de procesos externos a la organización como el intercambio de mensajería, políticas de gestión de contraseñas, así como la formación y concienciación de todo el personal para evitar que la ingeniería social actúe sobre nuestra bondad, candidez o debilidad.

Por último, cabe plantearnos ¿cuál es la responsabilidad que nuestra organización asumirá si nos hacen un Don Draper digital a uno de nuestros empleados?. Responsabilidad civil por daños a terceros o responsabilidad por incumplimiento de la normativa de Protección de Datos personales, son dos de los aspectos más relevantes a tener en cuenta.

Así las cosas, la solución, una vez más, pasa por ser conscientes del incremento de la ciberdelincuencia poniendo foco en los activos de nuestra organización para, desde ahí, plantearnos el establecer medidas preventivas desde el punto de vista legal y de seguridad, porque si no de nada nos va a servir apelar a la responsabilidad individual de la persona suplantada.

La diligencia debida exigida a una organización es una gran losa de responsabilidad que nos obliga a vigilar. Todos y todas conocemos la famosa frase de «nosotras parimos, nosotras decidimos», lo que nos obliga a decidir si implementar o no tecnología en los procesos de organización que puedan suponer un riesgo asociado a la suplantación de identidad digital. Si nosotros decidimos, nosotros debemos parir medidas de protección técnicas organizativas y jurídicas para proteger los intereses de nuestra organización y de las personas.

 

Oscar López, Director General UBT Legal & compliance. Presidente del Grupo de Regulación y del Observatorio de Privacidad y Derechos Digitales de AUTELSI