La Agencia Española de Protección de Datos (AEPD) ha multado las cuatro operadoras más importantes del mercado de telecomunicaciones -Vodafone, Orange, Telefónica y Xfera (MásMovil)- por falta de control de seguridad al tramitar y realizar duplicados de las tarjetas SIM.
A lo largo de 2019 y 2020 aumentaron las denuncias realizadas por los usuarios, lo que conllevó la iniciación de una investigación que ha desembocado en las siguientes penalizaciones:
- Vodafone, con 3,94 millones;
- Orange, con dos multas que ascienden a 770.000 euros;
- Telefónica, con 900.000 euros; y
- Xfera (MásMóvil), con 200.000 euros.
La AEPD considera que las operadoras no han verificado la titularidad de las tarjetas SIM de sus clientes, o han realizado directamente el duplicado sin solicitar autorización del propietario, lo que infringe el principio de integridad y de confidencialidad de los datos de sus clientes.
Esto conllevó que, de forma ilícita, se usurpara la identidad de los titulares de una línea móvil y se accediera a sus aplicaciones y cuentas bancarias, desde las que se procedía a transferir el dinero de las víctimas a sus propias cuentas.
En el caso de Vodafone, se aplica además un agravante por negligencia, puesto que, pese a tener constancia de que los datos de sus usuarios no habían sido tratados de forma correcta, no adoptó las medidas de protección necesarias hasta que se le fue exigido por la agencia, por lo que se considera una falta de diligencia en la gestión del riesgo, y que la política de seguridad de Vodafone ha resultado insuficiente.
Con esta práctica se ha considerado que los hechos probados vulneran el artículo 5.1.f) del Reglamento General de Protección de Datos de la Unión Europea («integridad y confidencialidad») y son constitutivos de la infracción prevista en el artículo 83.5 del mismo texto legal y 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Conforme a estas resoluciones, toda empresa debe tener una estructura y organización interna dotada de mecanismos adecuados para, entre otras finalidades, proteger los datos personales de los usuarios, como encargado del tratamiento de datos. En la misma línea, la AEPD señala que:
“Continuos errores … lo que exteriorizan es un problema más profundo en la organización, una falta de visión de los riegos, de análisis y de planificación (privacidad desde el diseño), una ausencia de dimensionamiento de las medidas de seguridad, una omisión en la implantación de las adecuadas o de revisión de las inadecuadas, la inexistencia de demostración del cumplimiento… En suma, una falta de medidas de seguridad apropiadas y un incumplimiento de las obligaciones derivadas de la responsabilidad proactiva, máxime cuando los “errores” persisten en el tiempo”.
Con estas sanciones -y con la obligación de un mecanismo interno en las empresas- se pretende proteger el derecho fundamental a la protección de datos -entre otros-, derecho que atribuye a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos, cuyo fin es garantizar a la persona un poder de control sobre sus datos personales, tal y como viene reiterando el Tribunal Constitucional.
POR LO TANTO,
Es responsabilidad de las operadoras establecer unos requisitos adecuados efectivos y eficaces que garanticen la protección adecuada de los derechos fundamentales y las libertades públicas de las personas físicas y especialmente su honor e intimidad personal y familiar, cuya importancia es más latente en el ámbito de la profesionalidad de los responsables o encargados, máxime cuando operan con ánimo de lucro en el mercado de datos.
Aunque las empresas sancionadas tienen la posibilidad de interponer, en un plazo de dos meses, recurso contencioso-administrativo ante la Audiencia Nacional, por lo que esta batalla legal aún puede continuar.
Queremos recordad que , desde AIT le ofrecemos a usted como operador, una asesoría integral sobre el funcionamiento de su empresa, abarcando todos los mecanismos correspondientes a la protección de datos, de forma que pueda ofrecer a sus clientes la cobertura necesaria para la protección de sus derechos y verse salvaguardado frente a cualquier reclamación que le puedan plantear.
Seguiremos publicando información interesante en nuestro blog y te mantendremos actualizados a través de nuestras redes sociales en LinkedIn, Twitter y Facebook, dónde publicamos todos los días.
¡Te esperamos!
A tener en cuenta, SAN 392/2015, de 17 de noviembre (FJ Tercero); Procedimiento Sancionador AEPD PS-00001-2021.