El 27/05/2020 la parte reclamante fue víctima de un hurto en el que le sustrajeron su DNI, carnet de conducir y tarjetas de crédito. Posteriormente el DNI sustraído fue utilizado para suplantar su identidad y generar diversos perjuicios económicos.

El 03/06/2021 la parte reclamante intentó acceder a su perfil en la Seguridad Social, no pudiendo llevarlo a cabo al informarle la citada administración que sus datos no eran correctos. Posteriormente accedió mediante su CL@VE PIN y comprobó que alguien había modificado sus datos (Dirección, teléfono y e-mail) sin su consentimiento. La modificación se llevó a cabo mediante un formulario TA-1, aportándose junto al mismo la copia del DNI.

El 04/06/2021 amplió la denuncia formulada ante la policía el 27/05/2020 describiendo lo ocurrido. Según afirma, el suplantador accedió a su perfil de la Seguridad Social y se descargó su vida laboral. Con los datos obtenidos del citado documento y con el DNI sustraído se solicitó y se entregó al delincuente una tarjeta de crédito de una entidad bancaria, siendo esta utilizada para generarle diversas deudas. El suplantador abrió varias cuentas falsas a nombre de la reclamante en tres entidades bancarias.

La parte reclamante considera que la TGSS debería haberle notificado los cambios y actividades sospechosa realizadas en su perfil, ya que su mala gestión provocó el acceso indebido a los datos que tantos perjuicios le han ocasionado.

Los representantes de la TGSS han manifestado que al no poder realizar atención presencial, método por el que se prestaba atención a un elevado número de usuarios en las Administraciones, como consecuencia del estado de alarma y el cierre de las oficinas, en una primera fase se admitieron de manera provisional solicitudes de trámites a través del Buzón corporativo de las propias administraciones, si bien se requería aportar siempre copia del DNI y formulario de solicitud del trámite requerido firmado por el solicitante. Indican que tras detectar que por esta vía de entrada se recibían cada vez con mayor frecuencia solicitudes de modificación de datos personales de dudosa procedencia y para minimizar el riesgo de fallos en la verificación de la identidad de los solicitantes se hicieron recomendaciones a las Direcciones Provinciales para que dichos buzones corporativos se utilizaran exclusivamente para uso interno y comunicación con Organismos oficiales.

La AEPD considera que en el presente caso consta que los datos personales de la parte reclamante, obrantes en la base de datos de la TGSS, fueron indebidamente expuestos a un tercero, puesto que, al poder descargarse el documento de la vida laboral, tuvo conocimiento de los mismos procediendo a alterar algunos de ellos, tales como la dirección de correo electrónico y el número de teléfono, sustituyéndolos por otros.

En el momento de producirse la brecha, la TGSS no contaba con las medidas adecuadas para impedir que se produjera un incidente como el que se examina en el presente expediente, dado que al no poder realizar atención presencial, método por el que se prestaba atención a un elevado número de usuarios en las Administraciones, como consecuencia del estado de alarma y el cierre de las oficinas, en una primera fase se admitieron de manera provisional solicitudes de trámites a través del Buzón corporativo de las propias administraciones.

Por tanto, la Agencia considera que se ha producido una infracción de los arts. 5.1 f) y 32 RGPD y sanciona a la TGSS con un apercibimiento

Resolución AEPD PS/00234/2022