MILLONARIA MULTA DE LA AEPD A VODAFONE POR NO CUMPLIR CON PRINCIPIOS DEL RGPD.
- Escrito por Santiago DURAÑONA
(El autor fue estudiante de la XIV Edición del Máster en Propiedad Intelectual, Industrial y NN. TT. de la UAM)
El pasado 1 de febrero de 2022, mediante el procedimiento sancionador Nro. PS/00001/2021, la Agencia Española de Protección de Datos (AEPD) impuso una multa de 3.940.000 euros a Vodafone España, S.A.U. (Vodafone). Tal sanción se basó en que la AEPD consideró el obrar de Vodafone como una infracción de los artículos 5.1.f) y 5.2 del Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), que recogen el principio de integridad y confidencialidad y el principio de responsabilidad proactiva, respectivamente. Dicha infracción se encuentra tipificada en el artículo 83.5.a) del RGPD, y es calificada como muy grave a efectos de prescripción en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
En el procedimiento sancionador en cuestión, se expusieron nueve reclamaciones presentadas ante la AEPD durante los años 2019 y 2020. Dichas reclamaciones fueron realizadas por particulares que denunciaron la generación de duplicados de tarjetas SIM sin su consentimiento, como legítimos titulares, con el objeto de acceder a información confidencial con fines delictivos (práctica conocida como “SIM Swapping”).
La mayor parte de los particulares detectaron que había un problema con su tarjeta SIM porque de un momento a otro su línea de teléfono había dejado de funcionar o porque su banco les había informado sobre la existencia de operaciones sospechosas. Fue a partir de la mencionada práctica que los titulares de las líneas telefónicas en cuestión sufrieron distintos fraudes económicos. Concretamente, las personas que obtuvieron las tarjetas SIM duplicadas pudieron acceder a diversos datos personales y, en consecuencia, llevar a cabo diferentes operaciones, tales como solicitudes de préstamos bancarios, transferencias, acceso a datos de los particulares, sustracciones de dinero en efectivo y realización de diversos pagos (como, por ejemplo, a casas de apuestas o por medio de Bizum).
En respuesta a los requerimientos de los particulares y, en su defensa, Vodafone alegó que en muchos casos las personas infractoras conocían previamente la información personal de los sujetos estafados. Por ello, para Vodafone la persona que estaba solicitando el cambio de SIM era el correcto titular, no pudiendo de ningún modo advertir que dicha persona no era la que decía ser, sino un infractor que estaba suplantando su identidad. Sumado a ello, Vodafone argumentó que un cambio o duplicado de una tarjeta SIM implica únicamente el acceso a la línea de teléfono asociada a ésta, y de ningún modo ofrece la posibilidad de que la operadora facilite los datos bancarios del titular.
Mencionado todo lo anterior, el objeto del procedimiento llevado a cabo por la AEPD fue analizar si las medidas técnicas y organizativas adoptadas por Vodafone —para la expedición de duplicados de tarjetas SIM a los titulares de las líneas telefónicas— eran apropiadas para asegurar la mitigación de los posibles riesgos. Por el contrario, Vodafone argumentaba que su obrar no había sido negligente por todas las medidas que adoptó para prevenir el duplicado fraudulento de tarjetas; la realización de actividades delictivas de terceros para acceder a determinados datos personales de los afectados; y, por último, la existencia de errores humanos que han llevado a la emisión de los duplicados fraudulentos.
Respecto al principio de integridad y confidencialidad, la AEPD alegó que la adopción de medidas técnicas y organizativas no es una obligación absoluta, es decir, no se exige una obligación de resultado, sino de actividad. En dicho sentido, para evaluar tal actividad y la implementación de medidas y su consideración como “adecuadas”, resulta necesario analizar: (i) los métodos utilizados por el tercero para acceder ilícitamente al proceso de duplicado, (ii) las salvaguardas implementadas por Vodafone e, inevitablemente, (iii) el resultado. Esos tres elementos son los que determinaron la falta de adecuación al riesgo existente y los que llevaron a la AEPD a considerar como insuficientes las medidas implantadas por Vodafone.
En particular, la AEPD explicó que, en ningún caso, se impone o se exige la infalibilidad de las medidas de seguridad impuestas, sino su adecuación constante a un riesgo que, en este caso, era cierto, probable, alto y con un impacto muy significativo en los derechos y libertades de los ciudadanos. Además, a su juicio, unas medidas de seguridad que permiten la expedición de tantos duplicados de tarjetas SIM fraudulentas, pone claramente de relieve su insuficiencia.
No caben dudas de que estas medidas no eran adecuadas ni suficientes, ya que la entrega de la tarjeta SIM a terceros se produjo sin verificar de forma fehaciente la identidad de los interesados. Sumado a ello, por todo lo ocurrido quedó expuesta la necesidad de que Vodafone adoptara medidas adecuadas para reducir significativamente estos casos. Finalmente, la AEPD consideró importante tener en cuenta el hecho de que las duplicaciones fraudulentas no fueron detectadas mediante la aplicación de las medidas contenidas en la política de seguridad que Vodafone decía tener implementadas.
Por otro lado, en relación con el principio de responsabilidad proactiva, la AEPD destacó que este comprende el establecimiento, mantenimiento, actualización y control de las políticas de protección de datos en una organización, desde la privacidad, desde el diseño y por defecto. Estas políticas deben garantizar el cumplimiento del RGPD, evitar la materialización de los riesgos y permitir demostrar su cumplimiento.
Por lo tanto, la AEPD entendió que Vodafone, como responsable del tratamiento de expedición de duplicados de tarjetas SIM, no fue capaz de demostrar, de forma fehaciente, que su tratamiento había cumplido con los principios de protección de datos recogidos en el artículo 5 del RGPD. Esto se debe a que no logró acreditar que había adoptado las medidas adecuadas para la protección de los datos objeto del tratamiento en cuestión.
Concretamente, para la AEPD en el procedimiento se constató, entre otros, la falta de un modelo eficaz de evitación del riesgo de suplantación de identidad, la ausencia de medidas de seguridad adecuadas y tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM, la materialización de los riesgos, la reacción temporal tardía frente a los hechos descritos, sumado a la insuficiencia de las medidas adoptadas.
A la luz de todo lo expuesto, la AEPD decidió imponer la multa señalada. Vale añadir que, para llegar a esta decisión, la Agencia también tuvo en consideración que había quedado acreditada la negligencia de Vodafone por la tardanza en la adopción de medidas correctoras una vez producido el duplicado de la tarjeta SIM.
Cabe destacar que Vodafone no ha sido la única empresa de telecomunicaciones sancionada por la falta de controles en los duplicados de tarjetas SIM. En igual sentido, recientemente otras compañías como Telefónica (Procedimiento N.º PS/00021/2021), Orange (Procedimiento N.º PS/00022/2021) y MásMóvil (Procedimiento N.º PS/00027/2021) recibieron sanciones por infracción al principio de integridad y confidencialidad, aunque estas fueron de menor cuantía.
En mi opinión, luego de haber analizado la presente resolución, considero que la imposición de la sanción por la AEPD es adecuada, ya que el obrar de Vodafone no garantizó la seguridad de los datos personales de los usuarios y, además, no adoptó las medidas sino tras la comunicación de la AEPD de las reclamaciones presentadas.
De esta forma, el titular de los datos personales, cuya protección es central en la normativa aplicable, se vio desprotegido y gravemente afectado por el obrar de Vodafone. No resulta menor la circunstancia de que en este caso nos encontramos frente a una gran empresa que realiza tratamientos de datos personales de millones de clientes y a gran escala, por lo que, como acertadamente señala la AEPD, debe extremar el cuidado en el cumplimiento de sus obligaciones en materia de protección de datos.
Por último, creo que resulta necesario que la autoridad de aplicación imponga multas adecuadas y ajustadas al principio de proporcionalidad. En este caso, teniendo en cuenta la gravedad de la vulneración identificada, el círculo de personas físicas afectadas y los riesgos en los que se han incurrido y la situación financiera de Vodafone, considero que la multa fue proporcional. El hecho de que la multa sea de un monto elevado es necesario para que realmente las empresas infractoras se vean compelidas ya que, de lo contrario, en muchos casos podría ocurrir que a estas les sea más económico pagar las multas que implementar todas las medidas de seguridad adecuadas para el cumplimiento con la normativa. Contrario a los principios que rigen la materia, esto resultaría en un estado de gran desprotección y vulneración de los todos los titulares de los datos personales.