03/06/2022
La AEPD ha sancionado con una multa de casi 4 millones de euros a Vodafone por la violación de los arts. 5.1.f) y 5.2 del RGPD el pasado 01 de febrero de 2022, por haber realizado el incumplimiento de los principios de integridad y confidencialidad y de responsabilidad proactiva, por facilitar duplicados de tarjeta SIM a personas que no eran las titulares de las líneas móviles, tras la superación por estos terceros de las políticas de seguridad implementadas por la empresa.
Esta sanción viene dada debido a una serie de reclamos por la facilitación de duplicados de tarjeta SIM, con las cuales se perpetraron fraudes en cuentas bancarias, se solicitaron préstamos, se retiró efectivo de cajeros, entre otros, suplantando la identidad de los titulares.
Sin embargo, alega Vodafone, que el hecho de hacer un duplicado de SIM, solo implica un acceso a la línea de teléfono, en lo que respecta al acceso a otros datos como, contraseñas, datos bancarios y otra información del titular de la cuenta, queda en manos del tercero debido a que puede disponer de datos personales del titular mediante un previo acceso a los mismos o se los hubiera robado previamente.
La actual multa de 3,94 millones de euros entra en el puesto número 4 de nuestro ranking de las mayores multas impuestas por la AEPD hasta la fecha por infracción del RGPD.
La AEPD señala algunos de los puntos débiles identificados durante el Procedimiento en el proceso requerido por Vodafone para el cambio de tarjeta SIM: “la falta de un modelo eficaz de evitación del riesgo de suplantación de identidad, la ausencia de medidas de seguridad adecuadas y tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM, la materialización de los riesgos, la reacción temporal tardía frente a los hechos descritos y la insuficiencia de las medidas adoptadas (pues ha reaccionado al recibir los requerimiento de la AEPD y no ha evitado la repetición posterior como muestran las tres reclamaciones posteriores presentadas ante la AEPD)”.