La autoridad de control ha impuesto a Orange una sanción de 200.000 euros por la infracción del artículo 6 (licitud del tratamiento) del RGPD y de 1.000.000 euros por infringir el artículo 25 (Protección de datos desde el diseño y por defecto) del mismo cuerpo normativo.
En el presente supuesto se interpuso la reclamación debido a que la compañía llevó a cabo un duplicado de la tarjeta SIM del afectado (en un establecimiento físico), sin su consentimiento y sin que este lo hubiera siquiera solicitado. Es por ello por lo que se afirma que dicho duplicado se realizó sin comprobar adecuadamente su identidad y sin recabar su DNI, habiéndose producido una suplantación de su identidad. Con ocasión de la realización de dicho duplicado, se han sustraído 9.000 euros de sus cuentas bancarias.
En este sentido, tan pronto el reclamante fue consciente de que no tenía línea en su teléfono, acudió a un establecimiento de la entidad, constatándose que se había producido, de manera fraudulenta, un duplicado de su tarjeta. Habida cuenta de ello, se procedió a su desactivación.
Una vez admitida y notificada la reclamación, en sus escritos de alegaciones, Orange manifestó que, a pesar de la existencia de un protocolo para estos supuestos (en el que se establece que la emisión de duplicados lleva aparejada unos controles y medidas de seguridad destinadas a garantizar que las SIM sean emitidas únicamente a solicitud de los clientes y una vez verificada su identidad), así como de las instrucciones que se facilitan a sus trabajadores y distribuidores (entre otras, el hecho de que la SIM de reemplazo no puede ser entregada a una persona distinta del titular), dos empleados que prestaban sus servicios en el establecimiento actuaron irregularmente, por cuanto usaron sus credenciales con la finalidad de activar de forma fraudulenta dicho duplicado (el sistema permite la realización de estos duplicados sin necesidad de avisar al Grupo de Análisis de Riesgos en determinados supuestos, lo que aprovecharon los empleados). Ello fue conocido tras la realización de las debidas investigaciones por el citado Grupo de Análisis.
En relación con ello, se indicó por la entidad que no se puede pretender que la existencia de este tipo de infracciones “implique que pueda preverse y evitarse cualquiera de las formas en las que la delincuencia organizada pueda intentar llevar a cabo esta tipología de acciones”.
Así, afirma la entidad que, cuando son los trabajadores los que cometen el delito, aprovechándose de sus sistemas y frustrando sus procedimientos y medidas de seguridad, la compañía es una víctima más. De este modo, se indica por ORANGE que la comisión de un delito, incluso cuando se cometen en su seno, no determina de forma automática su culpabilidad o falta de diligencia.
Como medidas aplicadas por Orange, además de aquellas técnicas dirigidas a evitar que la irregularidad vuelva a tener lugar, se ha comunicado al distribuidor la necesidad de interponer una denuncia contra los agentes. Asimismo, previo a la notificación de la reclamación, se dio traslado a los Puntos de Venta de “una píldora formativa obligatoria con el fin de ayudar y concienciar a los equipos comerciales del riesgo de captar a comerciales para realizar duplicados físicamente desde los Puntos de Venta”.
Asimismo, se pone de manifiesto por la entidad que este duplicado implica la emisión de una tarjeta sin información personal, sin que, por sí sola, permita el acceso a información bancaria o financiera. En este sentido, se entiende que no es proporcional asumir que “el mero hecho de realizarse un duplicado de la tarjeta SIM pueda conllevar “la producción de una sensible pérdida patrimonial”.
En su resolución, la autoridad de control declara, entre otras cuestiones, que la tarjeta SIM sí permite identificar un número de teléfono y, a su vez, a su titular. Así, tanto los datos que se tratan para emitir un duplicado, como la tarjeta son datos de carácter personal, debiendo su tratamiento estar sujeto a esta normativa. En este sentido, el tratamiento realizado no se podía fundamentar en ninguna de las bases legitimadoras del artículo 6, ya que, entre otras cuestiones, el duplicado no era necesario para la ejecución de ningún contrato, ni había sido solicitado por la parte reclamante.
Respecto al concepto de SIM SWAPPING se declara que no hay dudas de que su finalidad es “poder acudir a la banca online, recibiendo los SMS con el código de confirmación de operaciones bancarias en la nueva SIM, y proceder a desviar el dinero de la cuenta corriente de la persona suplantada hacia otra de propiedad de los delincuentes”.
Respecto al principio de protección de datos desde el diseño, se indica por la AEPD que ORANGE articuló un protocolo que tenía como principal objetivo la realización del acto comercial, pero que no contemplaba el riesgo de la emisión y entrega de una tarjeta SIM a persona distinta de su titular, sin que, por lo tanto, se hubiera “identificado y analizado de forma adecuada los riesgos que un proceso manual de duplicados de tarjeta SIM entraña para los derechos y libertades de las personas físicas”.
Así, se declara por la AEPD que el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan los principios de protección de datos desde el diseño y por defecto, con un fin eminentemente preventivo (“muestra del paso de la reactividad a la proactividad y manifestación directa del enfoque de riesgos que impone el RGPD”), de modo que la empresa tenga integrada la protección de datos “incluso antes de iniciarse materialmente el tratamiento”. En el presente caso, la autoridad de control indica que el enfoque de la empresa no estaba orientado a los riesgos para los derechos y libertades de los clientes, sino a los de la propia empresa, por lo que no solo no se procuraba una protección eficaz a estos, sino que también se incumplía el artículo 25 del RGPD
En este sentido, la compañía no implementó las medidas técnicas y organizativas adecuadas al riesgo y necesarias para evitar “el mayor riesgo de fraude que podía generarse en la solicitud de duplicados de tarjetas SIM, con la finalidad de perpetrar un ataque de SIM swapping”. Así, se declara que ORANGE debía ser capaz de garantizar la aplicación de mecanismos que impidiesen que se produjera la duplicación fraudulenta de las tarjetas. No obstante, muchas de las medidas indicadas fueron aplicadas con posterioridad a los hechos, por lo que no se tuvieron en cuenta desde el diseño del tratamiento.
Puede acceder a la resolución sancionadora aquí.
