Multazo de 200.000 euros a Digi por hacer un duplicado de una tarjeta SIM sin permiso del titular

No es la primera vez que la Agencia Española de Protección de Datos sanciona a esta y otras compañías de telefonía por la misma práctica

El rótulo de una tienda de Digi Mobil / EP
El rótulo de una tienda de Digi Mobil / EP

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 200.000 euros a la operadora telefónica Digi Spain por infringir el artículo 6.1 del Reglamento General de Protección Datos (RGPD), que hace referencia a la licitud del tratamiento. Hizo un duplicado de una tarjeta SIM sin permiso del titular de la línea y gracias a eso, el delincuente pudo acceder a los datos bancarios del cliente.

No es la primera vez que la AEPD multa a esta compañía y otras por esta práctica, llamada también Swim Swapping. Con esta nueva resolución Digi acumula dos sanciones por el mismo motivo, alcanzando los 270.000 euros.

Una práctica habitual

Aunque la multa se materializó en septiembre de 2023, lo cierto es que ahora la AEPD la ha confirmado tras haber desestimado el recurso de reposición presentado por Digi. Así, solo le queda acudir a la vía contencioso-administrativa de la Audiencia Nacional para tratar de esquivarla.

Una tienda de Digi en un centro comercial / EP
Una tienda de Digi en un centro comercial / EP

 Los hechos ocurrieron en diciembre de 2021 cuando alguien suplantó la identidad del cliente. Logró el duplicado tras haberse hecho pasar por el titular de la línea en una conversación mantenida por WhatsApp entre él y la compañía. Digi se defendió alegando que contaban con un procedimiento que habían seguido de manera “escrupulosa” y, por tanto, habían llevado a cabo un tratamiento de datos lícito.

Los argumentos de Digi no convencen

Esos argumentos no convencieron a la AEPD. Desde el momento en el que la persona suplantadora realizó la sustitución de la SIM, el teléfono de la víctima se quedó sin servicio, de modo que el control de la línea quedó en manos de los ciberdelincuentes.

Ello provocó que se viesen afectados sus poderes de disposición y control sobre sus datos personales, que son parte del contenido del derecho fundamental a la protección de datos según ha señalado el Tribunal Constitucional. Según se explicó en la resolución, los suplantadores, al haber conseguido el duplicado, tenían el acceso a los contactos, aplicaciones y servicios, pudiendo modificar las contraseñas a través de un procedimiento de recuperación de clave el envío de un SMS con un código para poder modificar las contraseñas, se explica en la resolución.

Exposición de datos

Ello deja al descubierto las cuentas de correo electrónico, cuentas bancarias, aplicaciones como WhatsApp, redes sociales, Facebook o Twitter, entre otros. Por lo que, para la AEPD, la operadora tiene que ser capaz de acreditar que, para este caso concreto, se han seguido correctamente los protocolos de verificación implementados a la hora de solicitar el duplicado SIM. Y, en este caso, no lo acreditó.

Una tienda de Digi Mobil / EP
Una tienda de Digi Mobil / EP

Además, le deja claro que no le achacan toda la responsabilidad de la suplantación de identidad, sino la que le corresponde como responsable de ese tratamiento específico al tener que ser más exigente a la hora de proporcionarlo.

Has leído este contenido de Consumidor Global elaborado por nuestro equipo de redacción y expertos. Si deseas acceder de forma libre a todos los contenidos que producimos te recomendamos suscribirte. Además, podrás recibir asesoramiento legal gratuito por formar parte de nuestra comunidad.
Comentarios

Desbloquear para comentar

Suscríbase

Tenemos
el mejor plan
para el consumidor exigente

Suscríbase
Acceda

Acceso completo

Libere los accesos a todas las secciones bajo suscripción

Contenido exclusivo

Contenido exclusivo

Los mejores artículos, productos, contenido exclusivo y asesoría legal

Suscríbase
Sea el mejor consumidor únase a nuestro club.