FACUA.org Versión sólo texto  
Imprimir
Imprimir
FACUA.org - España - 8 de febrero de 2022

Multa de 5,81 millones a cuatro operadoras por la falta de control en los duplicados de las tarjetas SIM

Las compañías penalizadas son Vodafone, Orange, Telefónica y Xfera (MásMóvil). Delincuentes aprovechan las irregularidades para usurpar la identidad de los verdaderos titulares de las líneas con fines ilícitos.

La Agencia Española de Protección de Datos (AEPD) ha multado a las cuatro principales operadoras del mercado español -Vodafone, Orange, Telefónica y Xfera (MásMóvil)- con 5,81 millones de euros en su conjunto por la falta de controles de seguridad en los duplicados de las tarjetas SIM.

Las sanciones son el fruto de numerosas denuncias realizadas por afectados entre 2019 y 2020. Después de dos años de investigación, el organismo ha incoado cinco expedientes sancionadores. La penalización se reparte entre Vodafone, con 3,94 millones, Orange, con dos multas que suman 770.000 euros, Telefónica, que deberá abonar 900.000 euros y Xfera, que se enfrenta a un desembolso de 200.000 euros. Las empresas tienen dos meses para comunicar a la AEPD si tienen la intención de interponer un recurso contencioso-administrativo.

El organismo considera que las operadoras no han protegido lo suficiente a los usuarios al permitir el duplicado de tarjetas SIM de sus clientes sin autorizar o sin verificar, lo que, a juicio de la Agencia, infringe el principio de confidencialidad de los datos de sus clientes.

De hecho, esta práctica ha sido utilizada por delincuentes para usurpar la identidad de los verdaderos titulares de una línea móvil con fines ilícitos. Los casos denunciados ante la AEPD hablan de fraudes relacionados con el acceso a cuentas bancarias desde las que se transfería el dinero de las víctimas o se hacían pagos.

En ese sentido, la AEPD señala que "la rigurosidad de la operadora a la hora de vigilar quién es el titular de la tarjeta SIM o persona por éste autorizada que peticiona el duplicado, debería responder a unos requisitos estrictos. No se trata de que la información a la que se refiere no esté contenida en la tarjeta SIM, sino de que, si en el proceso de expedición de un duplicado de tarjeta SIM no se verifica adecuadamente la identidad del solicitante, la operadora estaría facilitando la suplantación de identidad".

La AEPD estima que las compañías han infringido el artículo 5.1 del Reglamento General de Protección de Datos de la Unión Europea. Esta infracción está tipificada en el artículo 83.5 de la Ley Orgánica 2/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que recoge que los datos personales deben ser tratados de manera que se garantice la seguridad adecuada de los mismos, incluida la protección contra el tratamiento no autorizado o ilícito.