La compañía de teléfono que ha sido sancionada por por permitir duplicado fraudulento tarjeta SIM

La Agencia Española de Protección de Datos (AEPD) ha emitido una resolución sobre deficiencias significativas en la actuación de la empresa de telecomunicaciones Vodafone en relación con la privacidad y la protección de datos de sus clientes, en concreto tras realizar sin consentimiento un duplicado de la tarjeta SIM de una socia de OCU, que fue utilizado posteriormente para realizar transferencias fraudulentas por importe de 5.000 euros.

 Esta resolución sigue una investigación detallada que arroja luz sobre prácticas que acreditan que Vodafone no siguió un procedimiento riguroso que permitiera comprobar la identidad del solicitante. En la actualidad sus propias políticas de seguridad exigen que si no hay cambios de dirección o que si el solicitante llama desde otro número se debe solicitar distinta información para contrastar la identidad. Sin embargo, Vodafone no probó haber seguido medida alguna para comprobar la identidad, permitiendo en el caso denunciado que el duplicado se realizará pese a constar que la llamada solicitante del duplicado se realizó con una numeración de Noruega solicitando el duplicado, e incluso el uso de número oculto para su activación, sin constar que se respetara ninguna de las actuaciones que detallan sus políticas de seguridad.

 La resolución de la AEPD se centra en que Vodafone ha incumplido en numerosas ocasiones las disposiciones de la legislación de protección de datos, en particular permitiendo duplicados de tarjeta SIM fraudulentos sin legitimación y sin garantizar que los datos personales tratados respectasen el principio de licitud. Esto incluye la recopilación y el procesamiento de datos sin el consentimiento adecuado de los usuarios, así como la falta de medidas de seguridad adecuadas para proteger los datos personales de sus clientes lo que con frecuencia conlleva un fraude de identidad.

 Por consiguiente, hubo un tratamiento ilícito de los datos personales de la parte reclamante, contraviniendo con ello el artículo 6 del reglamento de protección de datos. Como consecuencia, se impuso una sanción de 100.000 euros, luego minorada con una reducción del 20% quedando fijada finalmente en un importe de 80.000 euros.

 OCU solicita a los operadores de telecomunicaciones que extremen la vigilancia e implementen sistemas de seguridad que realicen un contraste efectivo de la identidad de sus propios clientes, reiterando la necesidad de que estas empresas cumplan con las normativas de protección de datos y actúen con responsabilidad y con la diligencia debida en el manejo de la información personal de sus clientes, especialmente cuando los teléfonos de los usuarios pueden ser utilizados posteriormente en estafas de phishing para obtener los códigos de seguridad en la doble autenticación provocando no sólo una vulneración de los datos de estos, sino un quebranto económico derivado de estas actuaciones fraudulentas en sus cuentas corrientes.

 OCU critica que la actual normativa de protección de datos permita que se impongan unas sanciones ejemplares, pero obvia que las resoluciones de la AEPD puedan reconocer cualquier reclamación de indemnización directa en beneficio del usuario cuyos datos han sido vulnerados, quien deberá acudir en su caso a la vía judicial para procurar que se le indemnice por el incumplimiento relatado y los daños ocasionados.