La Agencia Española de Protección de Datos (AEPD) ha sancionado con 200.000 euros a la operadora telefónica Digi Spain por infringir el artículo 6.1 del Reglamento General de Protección Datos (RGPD), que hace referencia a la licitud del tratamiento. Hizo un duplicado de una tarjeta SIM sin permiso del titular de la línea y gracias a eso, el delincuente pudo acceder a los datos bancarios del cliente.
No es la primera vez que la AEPD multa a esta compañía y otras por esta práctica, llamada también Swim Swapping. Con esta nueva resolución Digi acumula dos sanciones por el mismo motivo, alcanzando los 270.000 euros.
Una práctica habitual
Aunque la multa se materializó en septiembre de 2023, lo cierto es que ahora la AEPD la ha confirmado tras haber desestimado el recurso de reposición presentado por Digi. Así, solo le queda acudir a la vía contencioso-administrativa de la Audiencia Nacional para tratar de esquivarla.
Los hechos ocurrieron en diciembre de 2021 cuando alguien suplantó la identidad del cliente. Logró el duplicado tras haberse hecho pasar por el titular de la línea en una conversación mantenida por WhatsApp entre él y la compañía. Digi se defendió alegando que contaban con un procedimiento que habían seguido de manera “escrupulosa” y, por tanto, habían llevado a cabo un tratamiento de datos lícito.
Los argumentos de Digi no convencen
Esos argumentos no convencieron a la AEPD. Desde el momento en el que la persona suplantadora realizó la sustitución de la SIM, el teléfono de la víctima se quedó sin servicio, de modo que el control de la línea quedó en manos de los ciberdelincuentes.
Ello provocó que se viesen afectados sus poderes de disposición y control sobre sus datos personales, que son parte del contenido del derecho fundamental a la protección de datos según ha señalado el Tribunal Constitucional. Según se explicó en la resolución, los suplantadores, al haber conseguido el duplicado, tenían el acceso a los contactos, aplicaciones y servicios, pudiendo modificar las contraseñas a través de un procedimiento de recuperación de clave el envío de un SMS con un código para poder modificar las contraseñas, se explica en la resolución.
Exposición de datos
Ello deja al descubierto las cuentas de correo electrónico, cuentas bancarias, aplicaciones como WhatsApp, redes sociales, Facebook o Twitter, entre otros. Por lo que, para la AEPD, la operadora tiene que ser capaz de acreditar que, para este caso concreto, se han seguido correctamente los protocolos de verificación implementados a la hora de solicitar el duplicado SIM. Y, en este caso, no lo acreditó.
Además, le deja claro que no le achacan toda la responsabilidad de la suplantación de identidad, sino la que le corresponde como responsable de ese tratamiento específico al tener que ser más exigente a la hora de proporcionarlo.