Imagen de Digi Store Google Maps
La Agencia Española de Protección de Datos (AEPD) ha impuesto una nueva sanción a Digi, la operadora de telecomunicaciones de origen rumano, por un caso de ‘SIM swapping’ donde se activó un duplicado de una tarjeta SIM sin consentimiento de la titular. Esta práctica, que facilita el acceso fraudulento a cuentas vinculadas al número de teléfono, está entre los mayores focos de preocupación de los reguladores por el riesgo que representa para la privacidad de los usuarios.
En 2023, una clienta de Digi sufrió el activado irregular de un duplicado de su SIM en una tienda física sin haberlo solicitado. Para llevarlo a cabo, el responsable de la estafa presentó una copia del DNI de la víctima haciéndose pasar por su cónyuge. Aunque la tarjeta llegó a ser bloqueada inicialmente, este bloqueo no se ejecutó correctamente, permitiendo que el delincuente realizara cargos bancarios no autorizados, transferencias, compras online y la apertura de nuevas cuentas a nombre de la afectada.
La AEPD considera que este hecho constituye un tratamiento ilícito de datos personales, al no existir un consentimiento válido ni base legal para entregar el duplicado de la SIM a un tercero, y sanciona a Digi con 130.000 €.
Medidas de seguridad de Digi
Digi defiende que ya contaba con procedimientos de seguridad para la gestión de duplicados, incluyendo identificación presencial y validaciones individuales, aunque reconoce que tras este incidente ha reforzado sus protocolos. Entre las mejoras destacan:
- Mayor comunicación y avisos al titular de la línea.
- Requisitos de identificación más estrictos en tiendas.
- Procedimientos internos para detectar y frenar posibles fraudes.
Además, la compañía ha recurrido la sanción ante la Audiencia Nacional, por lo que la multa no es firme y su pago está paralizado mientras se resuelve judicialmente.
Sanciones acumuladas y situación económica
Este no es un caso aislado: Digi acumula multas por valor de casi 1,91 millones de euros impuestas por la AEPD en diferentes procedimientos, todas recurridas y actualmente sin ejecutar de forma definitiva debido a medidas cautelares aceptadas por la Audiencia Nacional.
El recurso de la empresa se apoya, en parte, en su situación financiera: datos presentados ante el tribunal muestran una reducción significativa de su caja operativa respecto al año anterior y un alto nivel de endeudamiento destinado al despliegue de redes de telecomunicaciones.
La sanción a Digi se enmarca en un contexto de incremento de la actividad sancionadora de la AEPD en España, que no solo actúa sobre operadores de telecomunicaciones sino también sobre empresas de otros sectores por infracciones de protección de datos personales (por ejemplo, videovigilancia, brechas de seguridad o tratamiento indebido de datos).
En Forlopd tenemos una amplia experiencia ayudando a empresas y profesionales de diferentes sectores a mejorar la privacidad de su información. Si tu negocio necesita adaptar sus procesos a las exigencias normativas, evitando así posibles sanciones de la AEPD, puedes solicitarnos un análisis de cumplimiento gratuito y nuestros especialistas te guiarán.
