Una persona impone una reclamación ante la Agencia Española de Protección de Datos (“AEPD”) alegando que su compañía móvil activó el duplicado de su tarjeta SIM, sin comprobar adecuadamente la identidad del solicitante de la nueva tarjeta.
La persona estafadora tras conseguir la activación de la nueva tarjeta SIM, toma el control de la línea telefónica del reclamante, pudiendo así, a continuación, realizar operaciones bancarias fraudulentas, accediendo a los SMS que las entidades bancarias envían a sus clientes, y sustrayendo, finalmente, de la cuenta bancaria del reclamante la cantidad de 9.000 euros.
La empresa de telefonía móvil reclamada confirmó que fueron sus propios agentes los que llevaron a cabo el fraude, sirviéndose de sus conocimientos del sistema interno de la empresa.
La AEPD considera que la entidad reclamada no identificó ni analizó de forma adecuada los riesgos que un proceso manual de duplicados de tarjeta SIM entraña para los derechos y libertades de las personas; ni previó ni aplicó desde el diseño las medidas técnicas y organizativas apropiadas para aplicar de forma efectiva los principios de protección de datos.
Por otro lado, la sanción impuesta vino derivada:
- no solo de la carencia de unas medidas adecuadas para la expedición de los duplicados SIM; sino, además, por la falta de revisión y refuerzo de estas, conforme al art. 25 Reglamento General de Protección de Datos (“RGPD”); y
- de la falta de una base de legitimación para realizar el duplicado de la tarjeta SIM, conforme al art. 6.1 RGPD.
La AEPD impone a la empresa:
- una multa administrativa de 200.000 euros, por una infracción del art.6 RGPD;
- una multa administrativa de 1.000.000 euros, por una infracción del art.25 RGPD.