El pasado 1 de febrero de 2022, la AEPD impuso a Vodafone España, S.A.U. (“Vodafone”) en su procedimiento sancionador PS/00001/2021 (el “Procedimiento”), una multa de 3.940.000 euros por infringir los artículos 5.1.f) y 5.2 del RGPD relativos al principio de integridad y confidencialidad y la responsabilidad proactiva.

La multa es consecuencia de una investigación iniciada por la AEPD a raíz de diversos procedimientos sancionadores por fraude de identidad incoados a Vodafone, y a raíz de 9 reclamaciones más por fraude de identidad que tuvieron lugar entre el 29 de julio de 2019 y el 2 de junio de 2020.

El Procedimiento describe 9 casos en los que se produce un fraude denominado “SIM Swapping”. Dicho fraude consiste en obtener un duplicado de la tarjeta SIM asociada a un usuario, con el fin de: “suplantar su identidad para obtener acceso a sus redes sociales, aplicaciones de mensajería instantánea, aplicaciones bancarias. o comercio electrónico, con la finalidad de interactuar y realizar operaciones en su nombre, autenticándose mediante un usuario y contraseña previamente arrebatados a ese usuario, así como con la autentificación de doble factor al recibir el SMS de confirmación en su propio terminal móvil donde tendrán insertada la tarjeta SIM duplicada”.

Según el Procedimiento, Vodafone creó duplicados de 9 tarjetas SIM a solicitud de terceros que se hicieron pasar por sus titulares reales. Esto tuvo como consecuencia serios daños económicos para los afectados.

La finalidad de la investigación de la AEPD era comprobar si estos casos se trataban de hechos aislados o, si por el contrario, se debían a un fallo en el sistema de protección de datos personales de Vodafone.

Mas concretamente, la AEPD buscaba analizar el proceso requerido por Vodafone para el cambio de tarjeta SIM, y “la adecuación de las medidas de seguridad implementadas por VDF en el marco de la gestión del riesgo para la correcta identificación de los clientes en el momento de expedir el duplicado de la tarjeta SIM”.

Hechos

A continuación indicamos brevemente los hechos de dos de las reclamaciones presentadas ante la AEPD con el fin de ilustrar los daños económicos ocasionados a los reclamantes por la falta de medidas de seguridad apropiadas de Vodafone.

En una de las reclamaciones, un tercero solicitó con fecha 28 de septiembre de 2019, un duplicado de la tarjeta SIM de una línea telefónica de la que era titular el marido de la reclamante.

Tras este hecho, en la cuenta bancaria de ING de la que eran titulares la reclamante y su marido, se solicitaron dos préstamos personales por valor de 23.000,00 y 3.000,00 euros y se realizaron dos extracciones en cajero por valor de 2.000,00 y 3.000,00 euros.

En otra de las reclamaciones, la reclamante, se quedó sin servicio en su línea telefónica en fecha 29 de julio de 2019. En dicha fecha, Vodafone expidió a favor de una tercera persona distinta a la titular de la línea, un duplicado de la tarjeta SIM en una tienda sita en Santa Cruz de Tenerife, cuando la parte reclamante tiene su domicilio en Barcelona.

En fecha 29 de julio de 2019, se realizaron dos transferencias a favor de un tercero desde la cuenta corriente de la reclamante, sin el consentimiento de esta última.

Infracción

En síntesis, la AEPD estima que Vodafone infringió los principios de integridad y confidencialidad (art. 5.1.f) y de responsabilidad proactiva (art. 5.2) por facilitar duplicados de las tarjetas SIM a terceros que no eran los titulares reales de las líneas móviles, tras superar dichos terceros la política de seguridad implementada por Vodafone.

Infracción del artículo 5.1.f) del RGPD. Principio de Confidencialidad e Integridad

El principio de confidencialidad e integridad de los datos personales según la AEPD “requiere la aplicación de medidas técnicas u organizativas apropiadas en el tratamiento de los datos personales para proteger dichos datos contra el acceso, uso, modificación, difusión, pérdida, destrucción o daño accidental, no autorizado o ilícito”.

En su defensa ante esta infracción, Vodafone alegó que la adopción de medidas técnicas y organizativas no es una obligación absoluta, y que había cumplido con la obligación de adoptar medidas técnicas y organizativas adecuadas.

Para ilustrar esta posición, Vodafone presentó el número de solicitudes que había recibido solicitando duplicados de tarjetas SIM, y el número de estas solicitudes que habían sido rechazadas por motivos de seguridad. Todo ello con el fin de demostrar que las medidas de seguridad implementadas funcionaban.

Ante esta alegación, la AEPD explica que: “En primer lugar, y sobre que la adopción de medidas técnicas y organizativas no es una obligación absoluta, que alega VDF, debe indicarse que no se exige una obligación de resultado, sino de actividad, pero para evaluar dicha actividad e implementación de medidas y su consideración como “adecuadas” es inevitable analizar los métodos utilizados por el tercero para acceder ilícitamente al proceso de duplicado, las salvaguardas implementadas por VDF e inevitablemente, el resultado. Esos tres elementos son los que van a determinar la adecuación al riesgo y no como pretende centrar el debate, VDF sobre si es infalible o no su sistema”.

Asimismo, en relación con los datos presentados por Vodafone: “Cabe señalar que lo que dejan patente estos datos es que VDF es consciente de que del total de solicitudes de duplicado de tarjetas SIM susceptibles de ser consideradas como fraudulentas, […], es decir, el X,XX % […] no son detectadas por VDF, y que VDF entiende que ese porcentaje supone que las medidas implantadas funcionan de forma satisfactoria. Si bien a juicio de la AEPD, unas medidas de seguridad que permiten un porcentaje en torno al XX % de expedición de duplicado tarjetas SIM fraudulentas pone de relieve la insuficiencia de esas medidas de seguridad adoptadas y la necesidad de que por parte de VDF se adopten medidas adecuadas para reducir significativamente los casos de duplicados fraudulentos de tarjetas SIM”.

La AEPD también ofrece algunos ejemplos concretos de las medidas implantadas por Vodafone que considera insuficientes:

“Así, de la documentación remitida por VDF se infiere la falta de instrucciones específicas sobre qué datos concretos deben de pedirse al llamante para realizar un cambio de SIM […]”.

“Los datos personales asociados a la política de seguridad son los básicos de cualquier cliente: (…). Basta con poseer datos básicos de un cliente para poder superar la política de seguridad, sin que ninguna pregunta adicional sea formulada respecto de algún dato que conozcan únicamente la operadora y su cliente. Ningún requisito suplementario es requerido”.

La AEPD entiende que estos hechos son constitutivos de una vulneración del artículo 5.1.f) del RGPD “al facilitar VDF duplicados de la tarjeta SIM a terceras personas que no son las legítimas titulares de las líneas móviles e incluso modificar la titularidad de los servicios contratados, tras la superación por las personas suplantadoras de las políticas de seguridad implantadas por la operadora, lo que evidencia un incumplimiento del deber de proteger la información de los clientes”.

Infracción del artículo 5.2 del RGPD. Responsabilidad Proactiva

La exposición de motivos de la LOPDGDD hace referencia a este principio: “la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan”.

La AEPD explica que se trata de un principio que “Pivota sobre la gestión del riesgo”.

En relación con las medidas de seguridad llevadas a cabo por Vodafone, la AEPD indica que “[…] la adopción de medidas se ha producido no tras el análisis de los riesgos que implica el tratamiento de los datos para la emisión de duplicados de tarjeta SIM, […] sino cuando se ha puesto en su conocimiento los hechos, mediante el traslado de las reclamaciones presentadas ante la AEPD; lo que pone de manifiesto una conducta reactiva de VDF ante hechos consumados […] más que la conducta proactiva exigida por el RGPD que requeriría un análisis continuado de los riesgos y la adopción de las correspondientes medidas para tratar de mitigarlos […]”.

Conclusión

La actual multa de 3,94 millones de euros entra en el puesto número 4 de nuestro ranking de las mayores multas impuestas por la AEPD hasta la fecha por infracción del RGPD.

Finalizamos este post con un resumen que hace la AEPD de algunos de los puntos débiles identificados durante el Procedimiento en el proceso requerido por Vodafone para el cambio de tarjeta SIM: “la falta de un modelo eficaz de evitación del riesgo de suplantación de identidad, la ausencia de medidas de seguridad adecuadas y tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM, la materialización de los riesgos, la reacción temporal tardía frente a los hechos descritos, amén de la insuficiencia de las medidas adoptadas (pues ha reaccionado al recibir los requerimiento de la AEPD y no ha evitado la repetición posterior como muestran las tres reclamaciones posteriores presentadas ante la AEPD)”.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que ofrece entre otras herramientas, una base de datos con todos los procedimientos de la AEPD por infracción del RGPD y un sistema de alertas para ser notificado de los nuevos procedimientos. Para más información pulse aquí.