La Agencia Española de Protección de Datos (AEPD) ha sancionado con 200.000 euros a la operadora telefónica Digi Spain por infringir el artículo 6.1 del Reglamento General de Protección Datos (RGPD), que hace referencia a la licitud del tratamiento. Hizo un duplicado de una tarjeta SIM sin permiso del titular de la línea y gracias a eso, el delincuente pudo acceder a los datos bancarios del cliente.
Pero no es la primera vez que la AEPD multa a esta compañía -y a otras- por esta práctica, llamada también Sim Swapping.
Vodafone ha sido sancionada por esto hasta en 7 ocasiones, acumulando en total 4.430.000 euros; Orange, 4 veces, con un total de 910.000 euros; Telefónica, dos, con 970.000 euros, MásMóvil, una, con 200.000 y Digi, que, con esta resolución, que es la segunda, alcanza 270.000 euros.
Y aunque esta multa se materializó en septiembre de 2023, lo cierto es que ahora la AEPD la ha confirmado tras haber desestimado el recurso de reposición presentado por Digi. De modo que sólo le queda acudir a la vía contencioso-administrativo de la Audiencia Nacional para intentar esquivarla.
Los hechos ocurrieron en diciembre de 2021 cuando alguien suplantó la identidad del cliente. Logró el duplicado tras haberse hecho pasar por el titular de la línea en una conversación mantenida por WhatsApp ente él y la compañía.
Digi se defendió alegando que contaban con un procedimiento que habían seguido de manera «escrupulosa» y, por tanto, habían llevado a cabo un tratamiento de datos lícito.
Asimismo, manifestaron que, desde la compañía, se esforzaban en identificar y mitigar los intentos de fraude, por lo que no podían cargarle con toda la responsabilidad de lo que había ocurrido al considerar que esa tercera persona disponía de los datos telefónicos y bancarios de la clienta.
Los argumentos de Digi no convencieron a la AEPD
Pero tales argumentos no convencieron a la AEPD. Pues desde el momento en el que la persona suplantadora realizó la sustitución de la SIM, el teléfono de la víctima se quedó sin servicio, de modo que el control de la línea quedó en manos de ciberdelincuentes.
Y ello provocó que se viesen afectados sus poderes de disposición y control sobre sus datos personales, que son parte del contenido del derecho fundamental a la protección de datos según ha señalado el Tribunal Constitucional.
Según se explicó en la resolución, los suplantadores, al haber conseguido el duplicado, tenían el acceso a los contactos, aplicaciones y servicios, pudiendo modificar las contraseñas a través de un procedimiento de recuperación de clave el envío de un SMS con un código para poder modificar las contraseñas», se explica en la resolución.
Ello deja al descubierto las cuentas de correo electrónico, cuentas bancarias, aplicaciones como WhatsApp, redes sociales, Facebook o Twitter, entre otros.
Por lo que para la AEPD, la operadora tiene que ser capaz de acreditar que, para este caso concreto, se han seguido correctamente los protocolos de verificación implementados a la hora de solicitar el duplicado SIM. Y, en este caso, no lo acreditó.
Además, le deja claro que no le achacan toda la responsabilidad de la suplantación de identidad, sino la que le corresponde como responsable de ese tratamiento específico al tener que ser más exigente a la hora de proporcionarlo.
