La parte reclamante manifiesta que en 2020 contrató una tarjeta de crédito vinculada a su cuenta bancaria, procediendo a su activación y constando, como domicilio asociado, el de su residencia habitual en Madrid.
En noviembre de 2021, la parte reclamante comprobó que, a través de dicha tarjeta, se habían realizado varias retiradas de efectivo a través de un cajero sito en la localidad de Vigo, así como diversos pagos.
Tras lo sucedido, contactó con la entidad reclamada y esta le comunicó que habían expedido un duplicado de la tarjeta de la parte reclamante y que la habían remitido a su supuesto domicilio (en Vigo).
La AEPD constata que los hechos denunciados se materializan en la suplantación de la identidad de la reclamante por un tercero. Del extracto de la tarjeta indicada se confirma la veracidad de los hechos reclamados, todo ello, sin su autorización ni consentimiento, considerando, por tanto, que se ha vulnerado la normativa en materia de protección de datos de carácter personal.
En este caso, para acceder al servicio de atención telefónica y modificar el número de teléfono móvil asociado, el presunto suplantador debía conocer, o bien el CAP, o bien los siguientes datos personales del reclamante:
La Agencia considera estos datos una seguridad débil, pues si falla una capa de seguridad, la segunda capa de seguridad debería ser al menos tan segura como la primera. El CAP es un número de 4 dígitos, es decir, caben 10.000 posibilidades. Sí que destaca la AEOD que a partir de mayo de 2022 ya no es posible modificar el número de teléfono de los clientes mediante el canal telefónico.
Así, para acceder al espacio Web privado o a la App, el presunto suplantador debía conocer el usuario y contraseña. Si no poseía la contraseña, pudo generar una nueva conociendo D.N.I./N.I.F. y fecha de nacimiento e introduciendo la OTP enviada al teléfono móvil asociado (autenticación en dos pasos). La fortaleza de esta medida de seguridad recae en el segundo paso de la autenticación (el envío de la OTP al teléfono móvil informado), pero el presunto suplantador había modificado previamente ese número de teléfono.
Entiende la Agencia que se trata de datos a los que resulta razonable deducir que pueden ser accesibles con relativa facilidad para potenciales suplantadores. Conforme a la narración de los hechos verificada por la inspección, el suplantador consiguió cambiar el número de teléfono de contacto que el reclamante tenía a disposición del reclamado.
Con ello, se produjo un tratamiento sin legitimación de los datos personales del reclamante, ya que fue suprimido su número de teléfono y simultáneamente se le asignó un nuevo número de teléfono de contacto sin que mediara consentimiento ni base legitimadora alguna de las previstas en el artículo 6.1. RGPD.
Resolución 22 mayo 2023 PS-0037-2023
Ley de Vivienda
El despido nulo. Infografía
Desde Espacio Asesoría no disponemos de un servicio gratuito de asesoramiento, por lo que su comentario solo podrá ser respondido por otros lectores.
Si necesita una respuesta profesional, le recomendamos realice su pregunta desde el siguiente enlace, desde donde podrá establecer un contacto privado con un abogado.
Tu comentario ha sido enviado para ser revisado antes de ser publicado.