La Agencia Española de Protección de Datos (AEPD) ha sancionado a Orange con 1.200.000 euros. Ello, al no comprobar la identidad del cliente antes de realizar una copia de su tarjeta SIM. Un duplicado de tarjeta sin autorización del verdadero dueño que provocó que le sustrajeran cerca de 9.000 euros de sus cuentas bancarias.
Realizar un duplicado de una tarjeta SIM es un proceso de apenas unos minutos, y que en más de una ocasión es necesario. Bien por desgaste, por cambio de teléfono o, simplemente, debido a la pérdida del dispositivo que llevara esta tarjeta.
Una acción frecuente que, sin embargo, ha acabado provocando una suplantación de identidad. Y con ella, una sanción de más de un millón de euros a la empresa responsable del duplicado, Orange.
Todo comenzaba en diciembre de 2022. Momento en el que uno de los empleados de la compañía telefónica «realizaron un duplicado de la tarjeta SIM titularidad del reclamante, sin que lo hubiera solicitado». Una acción que se producía en una tienda de la compañía en Madrid.
«La víctima solo se entera de la situación cuando deja de tener cobertura en su teléfono móvil, y por mucho que reinicia el dispositivo, no lo consigue. Y es que al entrar en funcionamiento la nueva SIM duplicada de los ciberdelincuentes, la SIM que está en el teléfono de la víctima deja de funcionar», explica ahora la sanción de la AEPD.
Realidad que, al ser notificada a Orange por el usuario, llevó a la compañía a cancelar la segunda SIM. Sin embargo, los ciberdelincuentes ya habían adquirido, tal y como aseguraba la parte reclamante, cerca de 9.000 euros de las cuentas bancarias del hombre.
Más de un millón de euros de sanción a Orange
Situación ante la que, ante la AEPD, Orange aseguraba contar con un protocolo estricto, en el que, ante un duplicado de tarjeta SIM, «es de obligado cumplimiento no realizarlo a una persona distinta del titular». Y, del mismo modo, «la persona que vaya a realizar un duplicado deberá aportar un documento válido de identidad».
Un proceso de seguridad que la compañía, según ha alegado ella misma ante la Agencia, ha ido incrementándose desde abril de 2021. Y, del mismo modo, al enterarse de lo sucedido, interpusieron una denuncia contra los agentes responsables, que fueron dados de baja del establecimiento.
Medidas ante las que Orange aseguraba que, cuando son los trabajadores los que cometen el delito, aprovechándose de la empresa y sus dispositivos, la compañía es «una víctima más».
Explicaciones ante las que, sin embargo, la AEPD recordaba que el responsable del tratamiento de los datos personales de los clientes debía adoptar políticas internas para asegurar esa protección de forma preventiva. Un control que, en este caso, no estaba implementado adecuadamente por Orange antes de estos sucesos.
Razón por la que la AEPD encuentra a Orange responsable de una infracción del artículo 6 del RGPD, respecto a la licitud del tratamiento de datos, sancionada con 200.000 euros. Y, del mismo modo, una infracción del artículo 25, sobre la protección de datos desde el diseño, con un valor sancionador de 1.000.000 euros.
