El “swapping” es un tipo de fraude mediante el cual un delincuente busca duplicar la tarjeta SIM de un teléfono para poder así acceder a datos bancarios o contraseñas de otras personas.
De modo que las compañías telefónicas deben extremar precauciones para evitar este tipo de cosas. Sin embargo, hay muchas resoluciones dictadas por la Agencia Española de Protección de Datos (AEPD) que demuestran que, a veces, no velan por la seguridad de sus clientes.
Por ejemplo, Vodafone ha sido multada tres veces por hacer duplicados de SIM,. La primera y la más gorda fue en febrero de 2022, que supuso una sanción de casi 4 millones de euros; la segunda en diciembre de 2022, con 56.000 euros y en septiembre, 100.000.
Lo mismo ocurrió con Digi. En mayo de 2023 fue castigada con 70.000 euros por hacer duplicados de tarjeta sin permiso de la titular y, a finales de año, recibió otra sanción por la misma práctica de 200.000 euros.
Y ahora, el sancionado ha sido Orange también, con 200.000 euros por infringir el artículo 6.1 del Reglamento General de Protección de Datos.
Según se desprende en la resolución, todo comenzó cuando una clienta de la compañía telefónica decidió acudir a la AEPD porque el 1 de agosto de 2022 su teléfono había dejado de funcionar.
La SIM se solicitó a través del Área Privada de Internet
Recibió varios correos electrónicos. Unos eran avisos de consumo y en otro le decían que se había activado con éxito su nueva tarjeta SIM. Pero ella no había realizado tal operación.
Dicha tarjeta fue generada por un tercero a través del Área Privada por Internet. Accedieron con el usuario y la clave del afectado el 1 de agosto de 2022.
El ciberdelincuente procedió al cambio de su dirección de correo electrónico e inició posteriormente una conversación con el Canal digital asistido y solicitando a través de este medio el duplicado de eSIM.
Fue bloqueada el 3 de agosto por pérdida/robo.
La AEPD les impuso una multa de 200.000 euros el 23 de enero de 2024. Destacaron que, cuando la persona afectada dio aviso de que no había realizado ese trámite, “Orange no bloqueó el teléfono”. A ello añadieron que la compañía no había logrado acreditar que habían actuado diligentemente. Ello evidenciaba «un incumplimiento del deber de proteger la información de los clientes”.
Orange presentó un recurso de reposición
Pero Orange decidió presentar un recurso de reposición para intentar librarse de ella. Manifestó que no había quedado demostrado que el tercero hubiese accedido a datos bancarios ni a otra información personal asociado al terminal. Por lo que no podía hablarse de incumplimientos de protección.
Pero esta cuestión ya se resolvió en la resolución inicial. A ello añadieron que, aunque ellos establecen medidas de seguridad, consideraron imprescindible, como titulares de sus datos personas, que tuviesen cierta diligencia a la hora de custodiarlos.
La AEPD explicó que la sanción se impuso debido a que «facilitó un duplicado de la tarjeta SIM de la parte reclamante a un tercero, sin su consentimiento y sin verificar la identidad» y que seguían sin aportar pruebas suficientes.
Además, les recordó que no era la primera vez les habían sancionado por este motivo. Pues en enero de 2023 recibieron dos multas por este mismo motivo. Una de 200.000 euros, y otra de 70.000.
Por último, la compañía detalló que se le deberían aplicar dos circunstancias atenuantes. Por un lado, porque en ningún momento habían tratado datos de categorías especiales. Y, por otro, porque habían colaborado con la AEPD con el fin de “poner remedio a una supuesta infracción y mitigar posibles efectos adversos”.
Pero nada de eso sirvió.
La sanción todavía no es firme. Porque aunque se ha puesto fin a la vía administrativa, todavía se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
