La Agencia Española de Protección de Datos (AEPD) ha desestimado el recurso de reposición interpuesto por DIGI Spain Telecom contra una sanción de 200.000 euros impuesta por permitir la emisión fraudulenta de un duplicado de tarjeta SIM a un tercero no autorizado.
Los hechos del caso
El 6 de abril de 2021, un tercero se presentó en un punto de venta de DIGI para solicitar un duplicado de tarjeta SIM del reclamante. La operadora emitió el duplicado siguiendo su protocolo interno de verificación, pero sin que el titular legítimo de la línea tuviera conocimiento de la operación.
Cronología del fraude
- 14:21 horas: Se realiza el primer duplicado fraudulento, quedando el reclamante sin servicio
- 16:47 horas: El reclamante, al darse cuenta de la pérdida de servicio, acude a otro punto de venta donde se le emite un nuevo duplicado, anulando automáticamente el anterior
La posición de DIGI en el recurso
Argumentos de defensa
La operadora fundamentó su recurso en varios argumentos:
Cumplimiento de protocolos: DIGI alegó haber seguido escrupulosamente su procedimiento de verificación de identidad, considerando que esto legitimaba el tratamiento de datos.
Ausencia de responsabilidad absoluta: La empresa argumentó que no puede imponérsele una responsabilidad absoluta en la detección del fraude cuando un tercero dispone de datos identificativos y bancarios del titular.
Responsabilidad objetiva: Consideró que la AEPD le imponía una responsabilidad objetiva basada únicamente en el resultado, independientemente de la diligencia desplegada.
Circunstancias atenuantes solicitadas
- Resolución efectiva de la incidencia
- Ausencia de tratamiento de categorías especiales de datos
- Cooperación con la AEPD
- Inexistencia de beneficios obtenidos
La respuesta de la AEPD
Rechazo de las alegaciones principales
La agencia mantuvo su criterio por los siguientes motivos:
Insuficiencia de los protocolos: El hecho de que un tercero superara las medidas de seguridad evidencia su insuficiencia para garantizar la protección de datos.
Falta de base jurídica: La emisión del duplicado SIM a un tercero sin consentimiento del titular constituye un tratamiento sin base jurídica válida según el artículo 6.1 del RGPD.
Negligencia en la verificación: La mera coincidencia de datos en la base de datos no garantiza la identificación efectiva del titular legítimo.
Desestimación de atenuantes
La AEPD rechazó todas las circunstancias atenuantes alegadas:
Resolución de la incidencia: No fue por iniciativa propia de DIGI, sino por la intervención del reclamante al detectar la pérdida de servicio.
Cooperación con la autoridad: Responder a los requerimientos informativos constituye una obligación legal, no una colaboración voluntaria.
Ausencia de beneficios: Esta circunstancia no puede operar como atenuante, solo como agravante cuando sí existen beneficios.
Criterios agravantes aplicados
Reincidencia significativa
La AEPD destacó la existencia de múltiples procedimientos sancionadores previos contra DIGI por infracciones similares:
- EXP202104009: 70.000€ (marzo 2023)
- EXP202201226: 70.000€ (marzo 2023)
- EXP202204881: 70.000€ (junio 2023)
Naturaleza de la actividad
La condición de operadora de telecomunicaciones implica:
- Tratamiento continuo de datos personales
- Mayor exigencia en la diligencia debida
- Necesidad de medidas técnicas y organizativas más robustas
El alcance del daño en el SIM swapping
Vulnerabilidades expuestas
La AEPD enfatizó las graves consecuencias del SIM swapping:
- Pérdida de control sobre la línea telefónica
- Acceso potencial a aplicaciones y servicios mediante códigos SMS
- Posibilidad de suplantación de identidad
- Vulneración del derecho fundamental a la protección de datos
Riesgos asociados
Una vez obtenido el duplicado fraudulento, los delincuentes pueden acceder a:
- Cuentas de correo electrónico
- Servicios bancarios online
- Aplicaciones como WhatsApp
- Redes sociales
- Cualquier servicio que use verificación por SMS
Doctrina jurídica aplicada
Responsabilidad de las personas jurídicas
La AEPD citó jurisprudencia del Tribunal Constitucional (STC 246/1991) estableciendo que las personas jurídicas tienen “capacidad de infracción y reprochabilidad directa” derivada del bien jurídico protegido.
Principio de responsabilidad proactiva
La resolución reitera que el responsable del tratamiento debe:
- Integrar garantías necesarias en el tratamiento
- Cumplir y demostrar el cumplimiento del RGPD
- Establecer medidas efectivas, no meramente formales
Aspectos procedimentales relevantes
Graduación de la sanción
La multa de 200.000€ se determinó considerando:
- Reincidencia en infracciones similares
- Gravedad del impacto potencial
- Naturaleza de la actividad empresarial
- Ausencia de medidas preventivas efectivas
Resolución extemporánea
La AEPD reconoció la demora en resolver el recurso por “razones de funcionamiento del órgano administrativo”, reiterando su obligación de dictar resolución expresa conforme al artículo 21.1 de la LPACAP.
Marco normativo reforzado
Artículo 6.1 del RGPD
La resolución confirma que la emisión de duplicados SIM requiere:
- Base jurídica válida para el tratamiento
- Verificación efectiva de la identidad del solicitante
- Medidas técnicas y organizativas adecuadas
Estándar de diligencia exigible
Para operadoras de telecomunicaciones se requiere “rigor y exquisito cuidado” en el cumplimiento de las obligaciones de protección de datos, dado el volumen y sensibilidad de los datos tratados.
La resolución establece un precedente claro sobre la responsabilidad de las operadoras en casos de SIM swapping, rechazando argumentos basados en el cumplimiento formal de protocolos internos cuando estos resultan insuficientes para prevenir tratamientos ilícitos de datos personales.
