El Tribunal Supremo ha confirmado definitivamente la multa de 200.000 euros que la Agencia Española de Protección de Datos (AEPD) le impuso a Xfera Móviles por realizar tarjetas SIM a terceras personas sin consentimiento de los titulares. Esta técnica de fraude es conocida como “swapping”.
Así lo han considerado los magistrados José Manuel Bandrés (ponente), Eduardo Calvo, José María del Riego, Diego Córdoba e Isaac Merino en la sentencia 1569/2024 de 8 de octubre.
La sanción de la AEPD, que tuvo lugar en 2021, partió de una serie de incidentes en los que se emitieron duplicados fraudulentos de tarjetas SIM. Por lo que terceras personas pudieron acceder a datos personales y realizar transacciones financieras no autorizadas en nombre de los clientes.
La AEPD consideró que Xfera no había adoptado medidas de seguridad suficientes para verificar la identidad de los solicitantes de duplicados de SIM y, por tanto, se había producido una brecha de seguridad.
Se le sancionó por vulnerar el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), que hace referencia a los principios relativos al tratamiento.
Recurso en la Audiencia Nacional
Disconforme con la multa, Xfera Móviles decidió presentar un recurso ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
La compañía no ponía en duda la conducta infractora. Pero consideraban que dicho comportamiento también podría encuadrarse en el artículo 32 del RGPD, que regula la seguridad del tratamiento de datos a través de medidas específicas. En su opinión, resultaba más preciso y adecuado para el caso en cuestión.
También alegaron caducidad en el procedimiento y cuestionaron la proporcionalidad de la sanción.
Pero la Audiencia Nacional descartó que se hubiese producido caducidad en las actuaciones previas de investigación. Finalmente se esestimó el recurso en febrero de 2023.
Xfera Móviles, en el Supremo
Posteriormente Xfera Móviles presentó un recurso de casación ante el Tribunal Supremo. Pero los magistrados consideraron que era razonable la apreciación que había tenido el tribunal en la sentencia dictada en instancia.
Consideraron que tampoco la AEPD había incurrido en error de tipificación de la conducta infractora porque los hechos declarados probados acreditaban que la compañía «no contaba con medidas suficientemente adecuadas para preservar la integridad y la confidencialidad de los datos personales».
Ello «al facilitar el acceso de terceros a duplicados de tarjetas SIM, que los habrían solicitado fraudulentamente, sin consentimiento de sus legítimos titulares, que fue la causa de que se produjeran estafas mediante la utilización de los datos personales de los clientes reales».
«Al respecto, cabe poner de relieve que la Sala de instancia, con base en la doctrina del Tribunal Constitucional formulada sobre el principio de legalidad de las infracciones y sanciones administrativas, sostiene acertadamente que el artículo 5.1f)» establece «que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas».
Alberto Casaseca, delegado de protección de datos, ha recordado en LinkedIn que «aunque el artículo 32 también se refiere a la seguridad del tratamiento, éste se centra en medidas específicas que deben tomarse en función del contexto y el riesgo, mientras que el artículo 5.1.f) impone una obligación fundamental de proteger la confidencialidad y evitar accesos no autorizados».
Por tanto, el Supremo ha confirmado la sanción.
