Sanción de 3,94 millones de euros a Vodafone por infringir la confidencialidad de los datos personales

La AEPD impone esta multa a la teleco por vulnerar los artículos 5.1 y 5.2 del Reglamento General de Protección de Datos Personales.

Sanción de 3,94 millones de euros a Vodafone por infringir la confidencialidad de los datos personales
Imagen: Europa Press.

La Agencia Española de Protección de Datos (AEPD) ha dictado una resolución por la que multa a Vodafone España con 3,94 millones por incumplir el Reglamento General de Protección de Datos (RGPD).

Según la resolución del organismo español, publicada este miércoles en el Boletín Oficial del Estado (BOE) y con fecha de 9 de mayo, la sanción se debe a que la compañía infringió los artículos 51 y 5.2 del Reglamento, en el que se regulan las garantías para la confidencialidad e integridad de los datos personales.

Así, dicho artículo recoge que los datos personales deben ser "tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas", entre otros.

La AEPD señala que esta infracción se debe a diversos procedimientos sancionadores por fraude de identidad incoados a Vodafone. Describe 9 casos de fraude por el método denominado "sim swapping", que consiste en obtener un duplicado de una tarjeta SIM de la víctima para conseguir así acceso a toda su información.

Según el procedimiento, Vodafone creó duplicados de 9 tarjetas SIM a solicitud de terceros que se hicieron pasar por sus titulares reales. Esto tuvo como consecuencia serios daños económicos para los afectados. La AEPD quería analizar si se trataba de hechos aislados o de un fallo en el sistema de seguridad de la compañía.

Así, la Agencia concluyó que Vodafone no había implementado sistemas eficaces para evitar el riesgo de suplantación de identidad, que existía una "ausencia de medidas de seguridad adecuadas y tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM", y que habia existido una "reacción temporal tardía" frente a los hechos, ya que "ha reaccionado al recibir los requerimiento de la AEPD y no ha evitado la repetición posterior como muestran las tres reclamaciones posteriores presentadas ante la AEPD".

En virtud de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales, la Agencia Española de Protección de Datos está obligada a publicar en el BOE estas sanciones cuando afecten a personas jurídicas y su importe supere el millón de euros.

La Agencia también ha multado a Google por el mismo motivo, la vulneración del RGPD, en este caso con 10 millones de euros.

Ya somos 247.010