Las compañías telefónicas, al igual que cualquier otro tipo de negocio, están obligadas a tratar los datos de clientes según lo dispuesto en el RGPD (Reglamento General de Protección de Datos). Esto es algo que seguro ya sabes. Pero ¿están obligadas a verificar su autenticidad? Sin duda, se trata de una cuestión bastante más compleja a nivel legal. Por ello, en Gesprodat la vamos a analizar en profundidad.
Datos de clientes falsos, punto de partida de estafas y suplantaciones de identidad
Quienes roban los datos personales a otra persona suelen tener propósitos ilícitos. Si no fuese así, ¿para qué lo iban a hacer? Es algo totalmente lógico.
El problema está en considerar que, una vez producida la sustracción, es responsabilidad de las autoridades recuperar esa información. La realidad no es así, ya que mientras eso sucede (o no), los delincuentes pueden aprovechar para cometer algún tipo de delito suplantando la identidad de la víctima.
De hecho, este se ha convertido en un modus operandi habitual entre los ciberdelincuentes, que ya de por sí cuentan con muchas ventajas a la hora de preservar su identidad real. También en el de quienes siguen intentando cometer estafas telefónicas.
En concreto, lo que hacen es adquirir teléfonos prepago con datos falsos o, incluso, contratar planes con las compañías telefónicas usando información que no es la suya. De este modo, pueden llevar a cabo sus estafas con total impunidad, ya que la policía acudirá al titular a la hora de exigir responsabilidades.
¿Cómo actúa la AEPD en estos casos?
El ejemplo más claro de lo que hemos explicado anteriormente lo ofrece Vodafone. Todo comienza en el año 2019, cuando un sujeto se presenta en una tienda de la compañía y adquiere un terminal prepago. El empleado le pide su documentación y rellena los impresos como lo ha hecho otros cientos de veces. Hasta ahí, todo normal.
El problema viene cuando, unos días después, este sujeto utiliza el móvil prepago para cometer una estafa a través de Wallapop mediante el servicio de pagos instantáneos Bizum. La víctima presenta una denuncia ante la Guardia Civil, cuyos agentes proceden a identificar al comprador del terminal y a citarlo en el cuartel.
En ese momento, llega la sorpresa: esa persona había sido víctima del robo de su documentación, hecho que denunció previamente. Así que al delito de fraude cometido por el sujeto habría que sumar el de suplantación de identidad.
Cuando esto sucede, la AEPD (Agencia Española de Protección de Datos) es informada y descubre que el trabajador de la tienda no había verificado los datos aportados por el cliente que compró el teléfono prepago. El organismo alegó que la compañía había demostrado carecer de una «conducta proactiva» a la hora de adoptar «medidas técnicas y organizativas» en materia de protección de datos. Por esta razón, decidió imponer una de las mayores sanciones a compañías telefónicas de los últimos años: 100 000 euros.
Vodafone se disculpó con la persona a la que habían suplantado su identidad y fijó nuevos modelos de trabajo para evitar este problema en el futuro. Sin embargo, esto no impidió que tuviese que pagar la sanción. Es más, no pudo beneficiarse del 20 % de reducción por pago voluntario debido a otro error humano.
Dicho esto, queda claro que las compañías telefónicas no solo tienen la obligación de proteger las tarjetas SIM, sino también de comprobar la veracidad de los datos de los clientes. No hacerlo conlleva la imposición de fuertes multas de la AEPD.