La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 170.000 euros a Vodafone España, S.A.U. por no adoptar las medidas de seguridad adecuadas para evitar la suplantación de identidad de sus clientes en el proceso de solicitud de duplicados de la tarjeta SIM.
Según la resolución sancionadora, la AEPD inició una investigación tras recibir varias denuncias de usuarios que habían sido víctimas de fraude mediante la técnica del “SIM swapping”, que consiste en obtener un duplicado de la tarjeta SIM asociada a un número de teléfono para acceder a las cuentas bancarias, redes sociales, aplicaciones de mensajería o comercio electrónico del titular legítimo y realizar operaciones fraudulentas en su nombre.
La AEPD comprobó que Vodafone no verificaba correctamente la identidad de las personas que solicitaban el duplicado de la tarjeta SIM, ya fuera en tienda física o por teléfono, y que se limitaba a pedir el nombre, el DNI y el número de teléfono del cliente, sin exigir ningún otro documento o dato adicional que garantizara su autenticidad.
Además, la AEPD constató que Vodafone no informaba adecuadamente a sus clientes sobre el riesgo de suplantación de identidad y las medidas preventivas que podían adoptar, como activar el bloqueo por PIN o PUK de la tarjeta SIM o solicitar un aviso por SMS o correo electrónico cuando se realizara un cambio de SIM.
La AEPD consideró que Vodafone había vulnerado los principios de integridad y confidencialidad y de responsabilidad proactiva establecidos en el Reglamento General de Protección de Datos (RGPD), al no garantizar la seguridad de los datos personales de sus clientes y al no implementar las medidas técnicas y organizativas necesarias para prevenir y detectar los casos de suplantación de identidad.
Por todo ello, la AEPD impuso a Vodafone una multa de 170.000 euros, teniendo en cuenta la gravedad y la reiteración de las infracciones, el número de afectados, el perjuicio causado, el beneficio obtenido por la empresa y su facturación anual.
Esta sanción se suma a otras impuestas por la AEPD a Vodafone por motivos similares, como la multa récord de 8 millones de euros por incumplir varias normas relacionadas con la protección de datos, el envío masivo de comunicaciones comerciales no solicitadas y el tratamiento ilícito de datos personales.
Recomendamos a los usuarios que extremen las precauciones para evitar ser víctimas del “SIM swapping” y que revisen periódicamente sus cuentas bancarias y sus perfiles en las redes sociales y aplicaciones. Asimismo, les animamos a denunciar cualquier caso sospechoso ante la AEPD o ante las autoridades competentes.