La Agencia Española de Protección de Datos (AEPD) ha sancionado con 70.000 euros a la compañía telefónica Digi Spain Telecom por realizar un duplicado de una tarjeta SIM sin consentimiento del titular. Al cliente le suplantaron la identidad pero la empresa no logró detectarlo y la línea estuvo activa 16 horas.
Se le ha imputado la comisión de una infracción por vulneración del artículo 6 del Reglamento General de Protección de Datos (RGPD) que hace referencia a la licitud del tratamiento.
El consumidor presentó una reclamación ante la AEPD para dejar constancia de que en enero de 2022 su teléfono móvil se quedó sin cobertura y, a consecuencia de ello, decidió llamar a la compañía. Sin embargo, desde Digi le explicaron que el día anterior un tercero solicitó telefónicamente un duplicado de su tarjeta SIM. Pero todo se hizo sin consentimiento del usuario.
Al finalizar la llamada intentó acceder a su cuenta bancaria pero el sistema no le reconocía su contraseña. Tras lograr contactar con el banco para entrar en la aplicación se dio cuenta que se habían realizado diversas transferencias no autorizadas. Ante esta situación decidió acudir a comisaría para presentar una denuncia.
Digi explicó que el 13 de enero de 2022 recibió una llamada de una tercera persona que se identificaba como el titular de la línea solicitando la emisión de una tarjeta SIM.
Digi explicó que el suplantador conocía todos los datos del consumidor
Relataron que en la grabación de la llamada se escuchaba cómo el suplantador era conocedor de numerosos datos del cliente ya que le comunicó al teleoperador el nombre, apellidos, número de identidad y los cuatro últimos dígitos de su cuenta bancaria.
Por lo que tras comprobar estos datos le dieron un código para que pudiese recoger la tarjeta en un establecimiento determinado, pero allí no le pidieron ningún tipo de documentación, sólo los dígitos.
También destacaron que siguieron con los protocolos de seguridad establecidos y que la AEPD no estaba teniendo en cuenta la posibilidad de que el tercero tuviese de antemano los datos personales del afectado.
Incluso hicieron hincapié en que Digi no tenía sanciones previas, que en ningún momento se trataron categorías especiales de datos y que habían prestado su colaboración.
Sin embargo la AEPD apuntó que la empresa no dejó claro cuál pudo haber sido la causa concreta que desembocó la emisión del duplicado ya que se limitó a dar explicaciones genéricas.
La multa de 70.000 euros fue recurrida en reposición ante la AEPD, pero ha sido desestimado al considerar que la operadora debía de haber sido capaz de acreditar que para este caso concreto haya seguido los protocolos de verificación implementados a la hora de solicitar un duplicado de la tarjeta SIM.
La resolución de la AEPD concluye con que Digi, en su condición de operador, tenía que ser más exigente a la hora de proporcionar un duplicado de una tarjeta SIM. «Las verificaciones de identidad han de ser exhaustivas para evitar problemas de suplantación de identidad”. La sanción de 70.000 euros puede ser recurrida ante la Audiencia Nacional.
