El pasado 13 de marzo de 2023, la AEPD impuso en su resolución PS/00453/2022 (la “Resolución”) a Vodafone ESPAÑA, S.A.U. (“Vodafone”) una multa de 170.000 euros por infringir los artículos 6 y 32 del RGPD relativos a la base jurídica y medidas de seguridad en el tratamiento de datos personales.

En este caso concreto, un tercero, haciéndose pasar por la reclamante, consiguió superar la política de seguridad de Vodafone y consiguió tres cosas: un duplicado de una de sus facturas, información sobre sus datos bancarios y cambiar su email de contacto.

Asimismo, el suplantador tambien consiguió portar la línea telefónica de la reclamante a Vodafone Enabler (LOWI) otra empresa del mismo grupo.

La reclamante había sido víctima en el pasado de suplantación de identidad y antes del incidente objeto de la Resolución, ya había solicitado a Vodafone medidas de seguridad adicionales para su cuenta, como por ejemplo solicitar una clave de seguridad para el acceso telefónico o que cualquier trámite o modificación de su contrato solamente se pudiera realizar de manera presencial en las oficinas de Vodafone.

Infracción de Vodafone por falta de medidas de seguridad para evitar la suplantación de identidad

En relación con la solicitud a Vodafone de un duplicado de factura y de información sobre los datos bancarios de la reclamante, según la Resolución, Vodafone no aportó “acreditación documental del paso de la política de seguridad al solicitante para su correcta identificación, ni si fue solicitada la clave de seguridad al solicitante para realizar esta gestión”.

En relación con el cambio de dirección de correo electrónico, “los representantes de VODAFONE indican que no constan interacciones. Sí se constata, en el histórico de interacciones, una del 05/09/2021 17:07 mediante la que modifican los datos cliente, sin más anotaciones, no constando ningún tipo de acreditación documental del paso de la política de seguridad al solicitante para su identificación, ni sobre la solicitud de la clave de seguridad para realizar esta gestión”.

La AEPD concluye que “Por lo tanto, esta Agencia considera que nos encontramos ante una vulneración del artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no son adecuadas permitiendo la suplantación de identidad, al haberse procedido a la emisión de una factura duplicada y cambio de la dirección de correo electrónico por un tercero distinto al titular de tales datos, por lo que se considera que deben ser mejoradas tras haber quedado constatado que no han sido suficientes para evitar los hechos denunciados”.

Infracción de LOWI por faltas de medidas de seguridad para evitar la suplantación de identidad

El proceso de portabilidad de la línea telefónica de la reclamante se tramitó telefónicamente y se inició en LOWI, como operador receptor de la portabilidad. Vodafone, como operador donante, aceptó la portabilidad cuya solicitud le llegó de LOWI con los datos correctos, los cuales fueron aportados por el tercero que estaba suplantado la identidad de la reclamante.

Según la AEPD, las medidas de seguridad por parte de LOWI durante la portabilidad de la línea de la reclamante “no impidieron la suplantación de identidad del titular de la línea objeto de dicha portabilidad y la entrega de la tarjeta SIM a una persona que no era la titular de la línea”.

La AEPD concluye que LOWI realizó “la portabilidad de la línea objeto de este procedimiento, sin comprobar adecuadamente la identidad del solicitante, ni la identidad de la persona a la que se entregaba la tarjeta SIM, lo cual implica una segunda infracción del artículo 32 de RGPD, al no adoptar las medidas de seguridad necesarias para garantizar la protección de los datos de carácter personal de sus clientes”.

Infracción de LOWI por solicitar la portabilidad de la línea y tratar los datos de la reclamante sin una base jurídica

La Circular 1/2009 de la CMT (en la actualidad CNMC) (la “Circular”), introduce el consentimiento verbal con verificación por tercero en la contratación de servicios mayoristas regulados de comunicaciones fijas, y establece que corresponde al operador beneficiario el comprobar la existencia de un consentimiento verbal no pudiendo tramitar la solicitud si no cuenta con tal consentimiento.

La Circular establece en su punto tercero: “Para que el operador beneficiario pueda iniciar la tramitación de una solicitud con consentimiento verbal del abonado, se deberá acreditar la existencia de dicho consentimiento verbal por una entidad independiente verificadora, denominada tercero (…)”.

Como ya hemos indicado, el proceso de portabilidad se tramitó telefónicamente, y LOWI tenía en su poder una grabación de la solicitud de portabilidad por parte del suplantador.

Sin embargo, la AEPD entiende que LOWI infringió el artículo 6 del RGPD “al carecer de base de legitimación para llevar a cabo dicha portabilidad, al no seguir el protocolo establecido en la Circular 1/2009 de la CMT (…)” si bien la AEPD no explica exactamente en qué sentido LOWI infringió el protocolo de la Circular. Desde el Blog asumimos que LOWI no pudo acreditar la realización del proceso de verificación del consentimiento verbal por un tercero.

Conclusión

La falta de medidas de seguridad de Vodafone para evitar fraudes de suplantación de identidad no es nueva. Recordemos que el pasado 1 de febrero de 2022, la AEPD ya impuso a Vodafone en su procedimiento sancionador PS/00001/2021 una multa de 3.940.000 euros por nueve casos de un fraude denominado SIM Swapping, consistente en la suplantación de identidad de un cliente para obtener un duplicado de su tarjeta SIM para conseguir entre otros, acceso a sus redes sociales, aplicaciones de mensajería instantánea, aplicaciones bancarias. o comercio electrónico.

En la actualidad 2 de las 10 multas más altas impuestas hasta la fecha por la AEPD corresponden a Vodafone.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.