Datos del procedimiento
La Agencia Española de Protección de Datos (AEPD) resuelve el recurso de reposición interpuesto por DIGI SPAIN TELECOM, S.L.U. contra la resolución de 17 de septiembre de 2025 que impuso una multa de 150.000 euros por infracción del artículo 6.1 del RGPD.
Hechos que originaron el procedimiento
El 14 de octubre de 2021, un tercero contrató una línea móvil pospago a través del canal web de DIGI utilizando datos personales de la reclamante (nombre, apellidos y DNI). La contratación se formalizó mediante firma electrónica a través de Logalty, validada por SMS enviado a un número facilitado por el propio tercero. La tarjeta SIM se envió al domicilio indicado por el tercero mediante Correos Express.
En mayo de 2023, la reclamante contactó con DIGI al descubrir que figuraba como deudora de una línea que nunca contrató. DIGI procedió a rectificar datos, bloquear la deuda y cancelar la información relativa al fraude.
Argumentos principales de DIGI en el recurso
DIGI fundamentó su recurso en varios motivos: la existencia de procedimientos de seguridad (firma electrónica mediante prestador cualificado y verificación presencial en entrega), la ausencia de responsabilidad al tratarse de un fraude de tercero, la inadmisibilidad de responsabilidad objetiva conforme a la jurisprudencia constitucional, la ausencia de intencionalidad o negligencia, y la desproporcionalidad de la sanción atendiendo a circunstancias atenuantes alegadas.
Fundamentos de la desestimación
La AEPD mantiene que el proceso de contratación presenta deficiencias: no se verifica la veracidad de los datos sino únicamente que los números corresponden a un DNI; la firma mediante SMS no garantiza que quien dispone de la línea sea el titular de los datos; y no se han aportado evidencias de la efectiva comprobación del DNI en la entrega.
La resolución invoca la STS de 13 de diciembre de 2021, que establece que la intervención fraudulenta de un tercero no excluye por sí misma la responsabilidad del responsable del tratamiento, siendo exigible la implantación de medidas de control y verificación tendentes a asegurar que quien contrata coincide con el titular del DNI aportado.
Respecto a las circunstancias de graduación, la AEPD rechaza las atenuantes invocadas: la cooperación con la autoridad de control constituye una obligación legal, no una colaboración voluntaria; la ausencia de beneficios solo puede operar como agravante según la literalidad del artículo 83.2.k) RGPD; y la adopción de medidas correctivas forma parte de las obligaciones del responsable.
Resolución
La AEPD desestima el recurso de reposición, confirmando la multa de 150.000 euros. La resolución agota la vía administrativa, quedando abierta la posibilidad de interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional en el plazo de dos meses.