La Agencia Española de Protección de Datos (AEPD) ha multado con 200.000 euros a Vodafone por no evitar que suplantasen la identidad de uno de sus clientes. Ha infringido el artículo 6.1 del Reglamento General de Protección de Datos (RGPD).
Y aunque la resolución se ha publicado en marzo de 2024, los hechos ocurrieron en enero de 2022. La reclamación la interpuso un cliente tras recibir un mensaje de texto de Vodafone en el que le decían que se había cambiado la titularidad de su contrato. Una modificación que habían realizado sin su consentimiento.
En dicha reclamación el afectado manifestó que, tras pedir explicaciones, la ‘teleco’ le informó que el contrato se había realizado de forma presencial en un punto de venta del municipio de Rubí (Barcelona). Gracias a ello también descubrió que le habían suplantado la identidad en julio de 2021 contratando una línea de prepago que desconocía.
El cliente entregó a la AEPD varias pruebas. Entre ellas, las denuncias efectuadas ante la Policía Nacional, la copia del contrato formalizado en el punto de venta por Vodafone y el número de referencia de las reclamaciones interpuestas ante la compañía.
Vodafone comentó que la incidencia estaba resuelta
Así las cosas, la AEPD pidió explicaciones a Vodafone. Explicaron que actualmente la incidencia ya estaba resuelta y que habían notificado al departamento correspondiente que dichos servicios contratados fueron fraudulentos. También comentaron que se había registrado al cliente como víctima de fraude en todos los sistemas internos.
También reconocieron que la contratación de 2021 a la que hizo referencia el cliente fue realizada de forma fraudulenta en tres tiendas físicas, dos situadas en Barcelona y una en Valencia.
Por otro lado, alegaron que el cambio de titularidad de la línea telefónica no era suficiente para realizar operaciones bancarias. También destacaron que actuó de forma diligente respecto a los procesos necesarios para identificar correctamente a sus clientes.
No obstante, quisieron esquivar responsabilidades alegando que son terceras personas las que, mediante técnicas ilícitas y fraudulentas, obtienen los datos confidenciales de clientes. Y, a través de ellos, les usurpan la identidad y superan las medidas implementadas.
“Lo que no significa que la política sea insuficiente, sino que se han obtenido los datos necesarios por medios ajenos a Vodafone”, comentaron.
La suplantación podría haberse evitado
Pues bien, para la AEPD, la suplantación se hubiese podido evitar aplicando las medidas técnicas y organizativas adecuadas como depositaria de datos de carácter personal a gran escala.
En el presente caso, resulta acreditado el cambio de titularidad de la línea de teléfono de la reclamante, efectuada de forma presencial por un tercero el 14 de enero de 2022 en un punto de venta de Vodafone. Así como, posteriormente, la contratación de otros servicios de telefonía móvil en su nombre.
Además, Vodafone no aportó ningún tipo de documentación que acreditase haber efectuado la verificación de identidad del solicitante de las contrataciones no reconocidas. Y aunque aportó la política de seguridad, no aclaró cómo se procedió ni tampoco presentó documentación ni grabaciones, dice la resolución.
A la hora de graduar la sanción tuvieron en cuenta los numerosos procedimientos en los que ya ha sido sancionada por el artículo 6.1 del RGPD relacionados con duplicados de tarjetas SIM sin legitimación.
La sanción no es firme y se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
