La AEPD multa con 200.000 euros a Digi por un duplicado de SIM sin permiso
A medida que la ciberdelincuencia ha aumentado exponencialmente, aspectos tales como la privacidad y la protección de los datos de los usuarios están cada vez más presentes en todo tipo de organismos. Tanto es así, que la Agencia Española de Protección de Datos acaba de sancionar a Digi con 200.000 euros por haber hecho un duplicado de SIM sin el permiso de su usuario.
La Agencia Española de Protección de Datos es la autoridad estatal que vela por el cumplimiento de la normativa sobre protección de datos. A medida que la ciberdelincuencia se ha extendido, su trabajo se ha vuelto esencial para interponer sanciones a todas aquellas empresas que socavan, por diferentes razones, los derechos de los consumidores en materia de privacidad. La última de ellas ha sido la operadora telefónica de Digi, que ha violado el artículo 6.1 del Reglamento general de Protección de Datos al haber hecho un duplicado de una SIM sin haber solicitado el permiso pertinente al titular de la línea.
Los hechos se produjeron en diciembre del año 2021, pero no ha sido hasta ahora cuando la AEPD ha confirmado la sanción al haber desestimado las apelaciones presentadas por Digi.
El problema de la suplantación de la identidad
Actualmente, la inmensa mayoría de las estafas llegan por medio de técnicas de suplantación de la identidad. Y este caso no fue una excepción. La trama fue llevada a cabo por otro ciudadano que suplantó la identidad del cliente a través de una conversación de WhatsApp que llevó a cabo con la compañía. Tras proporcionar todos los datos requeridos, Digi procedió a enviar el duplicado de la SIM a la dirección acordada.
Sin embargo, desde Digi se afirmaba como argumento de apelación que ellos también habían sido engañados por el individuo que había llevado a cabo la petición para duplicar la SIM. Puesto que en todo momento se había seguido de manera escrupulosa todos los mecanismos de control y verificación de los datos personales. Sin embargo, el solicitante disponía de todos los datos: tanto personales como bancarios. Por lo que no había ninguna otra forma de comprobar que el solicitante no era realmente quien decía ser.
Además, tampoco logró acreditar que para esta situación en concreta se habían aplicado todos los protocolos de verificación. Por lo que no había forma de demostrar la metodología utilizada para este caso en específico.
No obstante, este argumento no fue válido para la AEPD. Puesto que al realizarse el duplicado, automáticamente la víctima se quedó sin servicio en su línea móvil, prohibiéndole cualquier poder sobre la disposición o el control de sus datos personales. Además, y tal y como se afirma en la resolución, “al haber conseguiro el duplicado, tenían acceso a los contactos, aplicaciones y servicios, pudiendo modificar las contraseñas a través de un procedimiento de recuperación de clave (…) el envío de un SMS con un código para poder modificar sus contraseñas”.
Más compañías afectadas
El caso de Digi ha sido el último en hacerse público, sin embargo, no es ni de lejos un caso aislado en contextos similares. Vodafone, por ejemplo, ha recibido sanciones por motivos similares hasta en un total de siete ocasiones, acumulando más de 4 millones de euros en multas. Orange, por su parte, se acerca al millón de euros, con un total de 910.000 euros al haber recibido hasta cuatro sanciones.
Telefónica también ha sido sancionada dos veces, habiéndose visto obligada a tener que abonar 970.000 euros. Mientras que MásMóvil únicamente ha recibido una sanción con un importe de 200.000. En el caso de Digi, es la segunda multa a la que se enfrenta, habiendo tenido que abonar 270.000 euros durante los últimos años. Como se puede comprobar, las técnicas de suplantación de identidad no solo afectan a los usuarios, sino que también tienen como responsable último a la operadora que no realiza las comprobaciones pertinentes.