Volver a Publicaciones
Volver a todas las publicaciones

Caso Sosa Asencio

Entre condena firme, identidad digital bajo lupa y un Compliance que no puede mirar para otro lado

Caso Sosa Asencio - Justicia y Compliance

A partir de un caso marcado por una condena ratificada por hechos cometidos mediante captación de víctimas en entornos digitales y por alegaciones públicas sobre posible uso indebido de identidad, este análisis examina qué exigen la protección de datos, la evidencia electrónica y el Compliance institucional.

A juicio de esta escritora, el interés institucional de este caso no radica únicamente en la controversia pública que ha generado —que no ha sido poca—, sino en el cruce entre una condena ratificada por la Segunda Sala de la Suprema Corte de Justicia y las alegaciones sobre un eventual uso indebido de identidad en entornos digitales. Esa intersección obliga a examinar el expediente desde una perspectiva más jurídico-técnica. La licitud del tratamiento de datos personales, la correcta atribución de la identidad digital, la solidez de la cadena de custodia de la evidencia electrónica y los estándares de Compliance público que deben operar cuando la información digital puede incidir de forma determinante en la responsabilidad penal de una persona.

En cualquier investigación apoyada en interacciones digitales, la primera pregunta de cumplimiento no es solo qué ocurrió, sino a quién pertenecían realmente los datos, perfiles, cuentas, dispositivos y rastros electrónicos que se incorporaron al proceso. Porque sí, en 2026 seguimos asumiendo —con demasiada facilidad— que detrás de un perfil hay una persona… y no siempre es así.

La protección de datos personales no se limita a evitar filtraciones o usos comerciales indebidos. También exige impedir que la información asociada a una identidad sea erróneamente vinculada a conductas que no le corresponden.

Cuando una persona alega que su identidad fue utilizada por terceros, el foco debe ponerse en la calidad de la atribución. La protección de datos personales no se limita a evitar filtraciones o usos comerciales indebidos, eso ya nos lo sabemos, también exige impedir que la información asociada a una identidad sea erróneamente vinculada a conductas que no le corresponden.

Desde un enfoque de gobernanza, esto supone verificar con rigor la autenticidad, integridad, origen y contexto de cada dato tratado. Perfiles en redes sociales, conversaciones, números telefónicos, registros de geolocalización o referencias en aplicaciones de contacto solo adquieren valor institucional cuando existe una cadena de custodia clara, trazable y técnicamente defendible. Sin esa robustez, el riesgo no es únicamente probatorio, también es un riesgo de tratamiento inadecuado de datos personales con potencial impacto sobre derechos fundamentales. O dicho de forma menos técnica, el problema no es solo equivocarse… es equivocarse con consecuencias irreversibles.

La ratificación de una condena por parte de la Suprema Corte, según la información publicada, confirma que el caso atravesó las distintas fases del sistema judicial y que el alto tribunal rechazó el recurso de casación de la defensa. Sin embargo, desde la óptica del Compliance, incluso cuando existe una decisión firme, el análisis institucional sigue siendo pertinente. Porque en sistemas maduros, el "ya está decidido" no debería ser el final de la conversación, sino —como mínimo— el inicio de una revisión interna seria.

Aquí entra en juego la debida diligencia probatoria. Si una investigación incorpora datos extraídos de plataformas digitales, contactos realizados mediante aplicaciones como Tinder, comunicaciones electrónicas o elementos de identificación en línea, la revisión debe responder a criterios de necesidad, proporcionalidad, autenticidad y contraste independiente. En términos de cumplimiento, minimizar el error institucional implica activar alertas tempranas ante inconsistencias, revisar pruebas aparentemente consentidas cuando aparecen dudas razonables sobre su origen y documentar de forma exhaustiva cómo se atribuyó cada dato a una persona concreta. Porque sí, aceptar una prueba sin cuestionarla a tiempo… también es una decisión.

Cuando la defensa técnica no identifica a tiempo inconsistencias, no cuestiona con suficiente profundidad la trazabilidad de los datos o no activa todos los mecanismos de revisión disponibles, el sistema pierde uno de sus contrapesos más importantes.

En esa misma línea, también merece una reflexión prudente la percepción pública de que la defensa principal no habría desplegado la actuación más eficaz. Sin asumir esa afirmación como un hecho probado —porque ello exigiría una valoración técnica y deontológica específica—, desde la óptica del Compliance conviene recordar que la defensa técnica actúa, en la práctica, como una capa esencial de control dentro del debido proceso. Cuando la estrategia defensiva no identifica a tiempo inconsistencias, no cuestiona con suficiente profundidad la trazabilidad de los datos o no activa todos los mecanismos de revisión disponibles, el sistema pierde uno de sus contrapesos más importantes. Y cuando eso ocurre, ya no hablamos solo de estrategia jurídica… hablamos de fallos de control.

El sector público necesita asumir que la evidencia digital ya no es una prueba periférica, sino una pieza central de numerosas investigaciones penales. Por eso, el Compliance público debe traducirse en protocolos claros sobre obtención, conservación, análisis y validación de datos personales. No basta con incorporar información tecnológica al expediente; es imprescindible demostrar que su tratamiento respetó garantías, controles internos y criterios de fiabilidad técnica. Porque la tecnología no reduce el riesgo por sí sola… solo lo traslada si no se controla.

Más allá del expediente concreto, este caso ilustra un problema creciente. Las estructuras criminales utilizan cada vez con más frecuencia aplicaciones, perfiles digitales y mecanismos de contacto en línea para captar víctimas, encubrir identidades o desplazar responsabilidades. Esa realidad exige que fiscales, jueces, investigadores y peritos operen con marcos más sofisticados de protección de datos y ciberseguridad, capaces de distinguir entre uso legítimo, manipulación, clonación de identidad y atribución correcta de conductas.

En un mundo donde cualquiera puede actuar en tu nombre con un par de datos y un dispositivo… la verdadera pregunta ya no es si los sistemas funcionan, sino si están preparados para no equivocarse cuando más importa.

En definitiva, la protección de datos y el Compliance no son asuntos accesorios frente a la justicia penal, sino garantías estructurales de su legitimidad. Cuando un caso combina interacción en plataformas digitales, tratamiento de datos personales, alegaciones contradictorias y una condena de alto impacto, la obligación de las instituciones es doble: mantener el respeto a las decisiones judiciales y, al mismo tiempo, perfeccionar de forma continua sus controles para que identidad, evidencia y responsabilidad nunca se separen por fallos de gobernanza.

Porque en un mundo donde cualquiera puede actuar en tu nombre con un par de datos y un dispositivo… la verdadera pregunta ya no es si los sistemas funcionan, sino si están preparados para no equivocarse cuando más importa.

¡Compliance activo o consecuencias!

Compartir este artículo: