La tarea de asegurar un correcto cumplimiento de la protección de datos por parte de los particulares y las empresas recae sobre la Agencia Española de Protección de Datos (AEPD). Para ello, cuenta con una potestad sancionadora que ha utilizado contra algunas de las operadoras móviles más importantes del país.
Si eres cliente de empresas como Vodafone o MásMóvil, debes saber que estas y otras van a tener que pagar entre todas un importe que supera los cinco millones de euros por no ofrecer una adecuada protección a las tarjetas SIM.
Multa millonaria de la AEPD
La AEPD ha impuesto multas muy sustanciosas tanto a grandes empresas como el BBVA como a pequeños negocios, y todo por no cumplir adecuadamente con las disposiciones en materia de protección de datos.
El sector de las telecomunicaciones ha sido uno de los más sancionados en los últimos años, y ha comenzado 2022 con mal pie. 5,81 millones de euros es lo que van a tener que pagar entre Vodafone, MoviStar, Orange, MásMóvil y Simyo por no dar una adecuada protección a sus tarjetas SIM.
La más perjudicada va a ser Vodafone, que tendrá que hacer frente a una sanción de 3 940 000 euros. Una multa que es mucho más alta que la del resto de “telecos”, porque la AEPD ha valorado su reincidencia en el incumplimiento de la normativa.
La SIM es un dato de carácter personal
La base de la sanción es que la Agencia Española de Protección de Datos ha considerado que las operadoras móviles no están dando a las tarjetas SIM toda la protección que estas deberían recibir.
La obtención de un duplicado es tan sencillo que muchos consumidores se han encontrado con que alguien ha clonado su tarjeta. Los delincuentes piden una copia de la SIM a la operadora identificándose como el titular de la línea. En muchos casos basta con presentar la copia de la denuncia (que los delincuentes falsifican) y una fotocopia del DNI que trucan colocando una foto suya encima.
Así obtienen la SIM con la que pueden sacar el dinero de las cuentas corrientes de sus víctimas. Porque el sistema de doble verificación de seguridad que utilizan los bancos lo que hace es enviar un mensaje con un código al número de teléfono de su cliente. Si el delincuente tiene una tarjeta de ese número, es él quien recibe los códigos de verificación. Por tanto, puede hacer transferencias y compras.
La AEPD considera que las operadoras tienen parte de responsabilidad en la facilitación de este tipo de delitos por no haber establecido mecanismos que permitan comprobar que quien pide el duplicado de la tarjeta es realmente el titular.
Además, las tarjetas SIM tienen la consideración de datos de carácter personal. Porque cada tarjeta está asociada a un número que, a su vez, identifica a su titular. Por tanto, la única persona habilitada para obtener una copia de esta debe ser el titular de la línea.
Concluye la Agencia Española de Protección de Datos que las operadoras de telefonía no cuentan con protocolos de seguridad que sean suficientes para impedir un acceso relativamente fácil a un duplicado de la tarjeta SIM por parte de quien no es el titular de esta. Lo cual constituye una vulneración de las obligaciones derivadas de la normativa sobre protección de datos de carácter personal.
La resolución no especifica qué podrían hacer las operadoras para mejorar la seguridad en este sentido, así que deben afrontar este reto en solitario. Las afectadas han manifestado que están trabajando para reforzar sus protocolos de seguridad. Aunque destacan que también las entidades bancarias deberían mejorar los suyos para evitar las estafas. Como ves, este caso nos muestra, una vez más, la importancia de la protección de datos por parte de las empresas.
