La AEPD ha resuelto un recurso de reposición contra una resolución que condenaba a una empresa de telecomunicaciones a una multa por duplicar la tarjeta SIM de la titular de la línea telefónica sin su consentimiento.
En el expediente núm. EXP202211403 se impone multa a la empresa por no cumplir con su deber de responsabilidad. El motivo, dar un duplicado de la tarjeta SIM a un tercero sin consentimiento de la titular.
La reclamante alegó que la compañía facilitó un duplicado de su tarjeta SIM a un tercero sin su consentimiento, resultando en movimientos bancarios no autorizados. En los hechos, detalla que un tercero se identificó con sus datos para obtener un duplicado de su tarjeta SIM, permitiendo realizar movimientos bancarios utilizando la información contenida en su teléfono móvil. Al conocer los hechos, solicitó una nueva tarjeta SIM tres días después.
En respuesta, DIGI ha manifestado que realiza esfuerzos para identificar y mitigar fraudes, eximiéndose de una responsabilidad absoluta en la detección de los mismos.
La AEPD resolvió el caso condenando a la empresa a una multa por una infracción del artículo 6.1 RGPD.
En el recurso presentado, la compañía solicita que se consideren circunstancias atenuantes, como la no utilización de categorías especiales de datos y la ausencia de beneficio obtenido.
La culpabilidad y responsabilidad de la empresa
La Agencia de Protección de Datos ha desestimado el recurso. Argumenta que, aunque se trate de infracciones cometidas por personas jurídicas, la culpabilidad se aplica de manera diferente a las personas físicas. Destaca la importancia de las operadoras en tratar los datos de sus clientes conforme al Reglamento General de Protección de Datos. Además de la necesidad de realizar verificaciones exhaustivas para prevenir suplantaciones de identidad.
El fenómeno del «Sim Swapping», utilizado en este caso, permite la suplantación de identidad al obtener un duplicado de la tarjeta SIM, lo que compromete la seguridad de los usuarios.
La Agencia de Protección de Datos sostiene que la operadora debe garantizar que ha seguido los protocolos de verificación establecidos y subraya la obligación del responsable del tratamiento de integrar las garantías necesarias.
En consecuencia, se ha decidido desestimar el recurso de reposición interpuesto por DIGI Spain Telecom. LA Agencia insta a la compañía a ser más rigurosa en las verificaciones de identidad al proporcionar duplicados de tarjetas SIM para evitar problemas de suplantación y fraudes bancarios.
Otras noticias de interés: