La autoridad de control ha impuesto una sanción de 200.000 euros a Vodafone por la infracción del artículo 6.1 del RGPD (licitud del tratamiento). En este supuesto, se interpuso la reclamación debido a que el 5 de enero de 2023 la reclamante recibió un mensaje en el que se le informaba de que, siguiendo la solicitud realizada a través del servicio de atención al cliente, se había procedido a llevar a cabo un cambio en la tarjeta SIM, modificación que ella no había efectuado.
Vodafone expuso que tan pronto fueron conscientes de que dichos actos que eran en apariencia veraces tenían carácter fraudulento, se desactivó la operación y se restituyó el uso del servicio de la línea (apenas ocho minutos después). No obstante, a pesar de la rapidez en la respuesta, la reclamante alega que se efectuaron operaciones bancarias fraudulentas.
Una vez iniciado el procedimiento sancionador, se presentó escrito de alegaciones por VODAFONE en el que se hacía constar, entre otras cuestiones, que la obligación de implementar medidas de seguridad adecuadas es una obligación de medios, no de resultados, por lo que el hecho de que un tercero hubiese podido superar estas medidas no puede implicar, per se, que la actuación de la entidad no haya sido diligente, sobre todo si se tiene en consideración la rapidez en la respuesta para solucionar este incidente.
Adicionalmente, se indica que la información que exige para verificar la identidad fue obtenida por los estafadores previamente y a través de medios totalmente ajenos a su esfera de control. Por ello, como se indica por la entidad, “no estamos ante un fallo o error del sistema implementado por Vodafone”, sino ante una actuación cometida por una organización criminal que aportó la información del cliente, previamente obtenida, para superar el procedimiento de verificación de identidad, por lo que “sí se llevó a cabo la verificación de la identidad correctamente no siendo posible constatar en el momento de la solicitud del duplicado SIM que dicha información estuviese siendo utilizada de manera fraudulenta”, sin que pueda apreciarse culpabilidad de la entidad.
A pesar de ello, la AEPD emitió propuesta de resolución sancionadora que fue notificada a VODAFONE, que reiteró sus alegaciones e indicó que los hechos acaecidos no suponen que la política de seguridad sea insuficiente; que siempre va a existir un riesgo residual, puesto que “el concepto de riesgo cero no existe”; que el proceso implementado, en circunstancias normales, permite verificar adecuadamente la identidad de sus clientes, bloqueando de manera inmediata cualquier intento fraudulento; que dicho proceso está en constante análisis y evolución o que la realización de un duplicado de la tarjeta “no conlleva el acceso a información bancaria, contraseñas, dirección de correo electrónico, etc., de los clientes de Vodafone, sino a los servicios de móvil e internet” que se hubieran contratado.
Concluye VODAFONE que, al exigir la obligación de evitar todos los fraudes, se está imponiendo una obligación absoluta de resultados, no de medios, “lo que iría en contra de lo dispuesto por la Audiencia Nacional”.
La autoridad de control ha declarado en su resolución que, para evitar este tipo de estafas (que tienen importantes consecuencias para los afectados), en fundamental que las operadoras actúen con diligencia estableciendo medidas adecuadas que garanticen la confidencialidad de todos los datos personales que tratan (“la tarjeta SIM identifica un número de teléfono y este número a su vez, identifica a su titular”, por lo que al ser datos personales, su tratamiento debe “estar sujeto a la normativa de protección de datos”). En este sentido, se afirma que VODAFONE, como responsable, sebe ser especialmente diligente y cuidadosa en el tratamiento, encontrándonos en este caso ante un error vencible, puesto que “con la aplicación de las medidas técnicas y organizativas adecuadas, estas suplantaciones de identidad se hubieran podido evitar”.
Habida cuenta de lo anterior, la AEPD declara que queda en entredicho la diligencia empleada para identificar a la persona que se puso en contacto con ellos para solicitar el duplicado de la tarjeta, no habiendo seguido el procedimiento implementado, puesto que, de haberlo hecho, se debía haber producido la denegación de dicha solicitud. Así, se ha producido un tratamiento ilícito de los datos personales, puesto que su tratamiento se efectuó sin que concurriese ninguna de las bases legitimadoras del artículo 6, al no acreditarse que el titular de los datos fuese quien efectivamente los facilitó.
Puede acceder a la resolución sancionadora de la autoridad de control aquí.