El procedimiento sancionador deriva de una serie de reclamaciones por facilitar duplicados de tarjeta SIM, con las que posteriormente se produjeron fraudes en cuentas bancarias, se solicitaron préstamos, se retiró efectivo de cajeros, etc ..., suplantando la identidad de los titulares.
Entre otros motivos, alega Vodafone, que el hecho de hacer un duplicado de SIM, no implica más que acceso a la línea de teléfono, sin que se acceda a contraseñas, datos bancarios y otra información del titular de la cuenta, salvo que el tercero disponga de otra serie de datos personales del titular porque hubiera tenido acceso a los mismos o se los hubiera robado previamente.
Destaca la AEPD que la responsabilidad proactiva implica la implantación de un modelo de cumplimiento y de gestión del RGPD que determina el cumplimiento generalizado de las obligaciones en materia de protección de datos.
Comprende esta responsabilidad el establecimiento, mantenimiento, actualización y control de las políticas de protección de datos en una organización, especialmente si es una gran empresa, -entendidas como el conjunto de directrices que rigen la actuación de una organización, prácticas, procedimientos y herramientas-, desde la privacidad desde el diseño y por defecto, que garanticen el cumplimiento del RGPD, que eviten la materialización de los riesgos y que le permita demostrar su cumplimiento.
El fraude conocido como “SIM Swapping” es una técnica delincuencial consistente en obtener un duplicado de la tarjeta SIM asociada a una línea de telefonía titularidad de un usuario, con la finalidad de suplantar su identidad para obtener acceso a sus redes sociales, aplicaciones de mensajería instantánea, aplicaciones bancarias. o comercio electrónico, con la finalidad de interactuar y realizar operaciones en su nombre, autenticándose mediante un usuario y contraseña previamente arrebatados a ese usuario, así como con la autentificación de doble factor al recibir el SMS de confirmación en su propio terminal móvil donde tendrán insertada la tarjeta SIM duplicada.
En el presente caso, de los hechos probados, se ve claramente la falta de un modelo eficaz de evitación del riesgo de suplantación de identidad, la ausencia de medidas de seguridad adecuadas y tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM, la materialización de los riesgos, la reacción temporal tardía frente a los hechos descritos, amén de la insuficiencia de las medidas adoptadas (pues ha reaccionado al recibir los requerimiento de la AEPD y no ha evitado la repetición posterior como muestran las tres reclamaciones posteriores presentadas ante la AEPD).
Añade la Agencia, entre otros razonamientos que, aunque es cierto que el sistema de verificación de las entidades bancarias responde a la voluntad de estas y no de la operadora, también es cierto, que si Vodafone asegurase el procedimiento de identificación y entrega, ni siquiera podría activarse el sistema de verificación de las entidades bancarias.
La persona estafadora tras conseguir la activación de la nueva SIM, toma el control de la línea telefónica, pudiendo así, a continuación, realizar operaciones bancarias fraudulentas accediendo a los SMS que las entidades bancarias envían a sus clientes como confirmación de las operaciones que ejecutan.
Esta secuencia de hechos puesta de manifiesto en las nueve reclamaciones interpuestas genera una serie de daños y perjuicios graves que deberían haberse tenido en cuenta en una evaluación de impacto relativa a la protección de datos.
La sanción se impone por la falta de garantías en la seguridad del tratamiento del art. 5.1.f) del RGPD y del principio de responsabilidad proactiva del art. 5.2 del RGPD.
El hecho infractor consiste en que VDF, como responsable del tratamiento de expedición de duplicados de tarjetas SIM no ha sido capaz de demostrar de forma fehaciente que en dicho tratamiento ha cumplido los principios de protección de datos recogidos en el art. 5 RGPD, al no haber adoptado las medidas adecuadas para la protección de los datos objeto del tratamiento de expedición del duplicado de tarjetas SIM.
Por otra parte, la negligencia como agravante se percibe, entre otros motivos, en la tardanza de adopción de medidas correctoras una vez producido el duplicado de la tarjeta SIM, toda vez que las mismas son adoptadas, no tras tener constancia la operadora de los duplicados fraudulentos de las tarjetas SIM, sino tras la comunicación de la AEPD de las reclamaciones presentadas, por lo que el hecho de no corregir las vulnerabilidades a tiempo ha agravado el daño a las personas afectadas.
Resolución AEPD PS-00001-2021, de 1 de febrero de 2022
Centinela Protección de Datos es la solución de Lefebvre que te ayudará en la planificación, implantación y mantenimiento del sistema de Protección de Datos de tu empresa
