Se presenta reclamación en la que se manifiesta que, al quedarse sin línea, contacto con la operadora, que le indicó que se había realizado un duplicado de su tarjeta SIM, solicitud que no hizo el reclamante. Al acudir a una tienda física y le facilitaron los datos relativos a dicho duplicado, siendo la localidad Barcelona, pese a que el reclamante reside en Madrid.

La operadora señala que se realiza, a través del sistema interno de activación de tarjetas de móvil solicitadas desde tiendas un pedido de duplicado de SIM. El departamento de Fraude procede a categorizar la contratación como irregular y a anular el duplicado de e-SIM.

También reconoce que la incidencia se debe a un error puntual humano, por parte del Agente del Punto de Venta que, ante la insistencia y conocimiento de los delincuentes del ‘argot’ de la compañía -por lo que creyó que estaba tratando con un compañero- consiguieron que el Agente revelase sus credenciales, incumpliendo todos los protocolos e instrucciones que se le habían comunicado en relación con la confidencialidad de las mismas.

Entiende la AEPD que de los hechos probados se deduce que se ha facilitado duplicado de tarjeta SIM a un tercero distinto del legítimo titular de la línea móvil, tras la superación por tercera persona de la política de seguridad existente, lo que evidencia un incumplimiento del deber de proteger la información de los clientes.

Ha quedado acreditada la falta de diligencia debida, pues considera la Agencia, siguiendo la jurisprudencia del TS que en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y “cuando la actividad de la recurrente es de constante y abundante manejo de datos de carácter personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto».

De lo anterior resulta claro que no se ha garantizado una seguridad adecuada en el tratamiento de los datos personales, habida cuenta del resultado que ha producido la suplantación de identidad. Es decir, un tercero ha conseguido acceder a los datos personales del titular de la línea sin que las medidas de seguridad que afirma la operadora que existen, hayan podido impedirlo.

Sintetizando, la rigurosidad de la operadora a la hora de vigilar quién es el titular de la tarjeta SIM o persona por éste autorizada que peticiona el duplicado, debería responder a unos requisitos estrictos.

Además, no se trata de que la información a la que se refiere no esté contenida en la tarjeta SIM, sino de que, si en el proceso de expedición de un duplicado de tarjeta SIM no se verifica adecuadamente la identidad del solicitante, la operadora estaría facilitando la suplantación de identidad.

Por tanto, se sanciona a la operadora con 70.000 € de multa, conforme art. 6.1 RGPD por facilitar un duplicado de la tarjeta SIM de la parte reclamante a un tercero, sin su consentimiento y sin verificar la identidad de dicho tercero.

Resolución AEPD de 23 marzo 2023, PS-00255-2022