La AEPD sanciona a MásMóvil con 200.000 euros por fallos de seguridad en 2022

FORLOPDseptiembre 22, 2025/inProtecciónDatos

Grupo MásMóvil ha sido sancionado por la Agencia Española de Protección de Datos con una multa de 200.000 euros tras recibir una denuncia de FACUA-Consumidores en Acción. La sanción es consecuencia de un agujero en su protocolo de portabilidades que posibilitó trasladar líneas de cualquier operador a sus compañías tan solo conociendo el DNI y el nombre del titular.

FACUA recibió denuncias de consumidores con suplantaciones de identidad y supuso una infracción del RGPD (art. 6.1) que hace referencia a la licitud del tratamiento. Mientras que se alertó en noviembre, la compañía no tomó medidas hasta diciembre del mismo año

El fallo de seguridad constaba de un código de verificación enviado por SMS a la línea que se quería portar, esto supuso un problema de seguridad a través del cual no se verificaba el cambio por una vía segura.

Dadas estas irregularidades, la AEPD sanciona por infracción del RGPD al haberse tratado los datos sin consentimiento de los afectados a MásMóvil.

De forma adicional cabe destacar que el sector exige un consentimiento expreso e inequívoco y una acreditación clara del titular para realizar este tipo de portabilidades.

La sanción alcanza al grupo de marcas de MásMóvil que reúne : Pepephone, Lebara, LlamaYa, Yoigo, HitsMobile, Embou, Lycamobile, SIMple, Populoos, R, Telecable, Euskaltel y Guuk. Fusionándose en 2024 con Orange.

Este tipo de acciones correctivas a agrupaciones de empresas por parte de la AEPD pretende afianzar los derechos de los consumidores, garantizando que se cumplen las normativas con el Reglamento General de Protección de Datos (RGPD) o la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)

Recomendaciones de seguridad en los procesos de portabilidad

Para evitar fraudes y suplantaciones de identidad en la portabilidad de líneas telefónicas, tanto las operadoras como los usuarios deben extremar precauciones y aplicar medidas de seguridad adicionales. Algunas buenas prácticas son:

Doble verificación de identidad

No basta con el DNI y el nombre del titular. Es recomendable exigir mecanismos de autenticación reforzada, como la validación mediante claves temporales (OTP) enviadas a aplicaciones seguras o biometría, evitando depender únicamente de un SMS.

Consentimiento expreso y documentado

Las compañías deben contar con pruebas claras de que el titular de la línea ha autorizado la portabilidad, ya sea mediante firma electrónica avanzada, grabaciones verificadas o sistemas digitales con trazabilidad.

Comunicación previa al titular

Antes de ejecutar la portabilidad, debería notificarse al titular de la línea mediante distintos canales (SMS, correo electrónico o aplicación móvil), otorgando un plazo de confirmación o cancelación en caso de fraude.

Protocolos de alerta y bloqueo rápido

Ante sospechas de suplantación, las operadoras deben disponer de mecanismos inmediatos para detener el proceso y verificar la identidad del cliente afectado.

En Forlopd ayudamos a organizaciones y negocios a adaptar sus procesos a las normativas en protección de datos, cumpliendo con el RGPD y la LOPDGDD, evitando así posibles sanciones correctivas de la Agencia Española de Protección de Datos (AEPD) Puedes solicitarnos más información a través de nuestro formulario de contacto.