La AEPD sanciona a DIGI con 150.000 € por fallos en la verificación de identidad

FORLOPDnoviembre 4, 2025/inCIBERSEGURIDAD, ProtecciónDatos

A raíz de la denuncia puesta a la Guardia Civil por una clienta que intentó darse de alta en DIGI, siendo rechazada por figurar como deudora, asegurando que no había contratado la compañía previamente.

Tras la denuncia, la compañía remitió la copia del contrato firmado donde tan solo coincidía el nombre y el número de DNI. Tanto domicilio, como fecha de nacimiento y cuenta bancaria eran de otra persona.

La persona afectada denunció el caso también a la Agencia Española de Protección de Datos (AEPD), aunque fue tras recurrir cuando la agencia reabrió el expediente.

La Agencia concluyó que la empresa DIGI no garantizaba la identidad de la usuaria de un modo certero, ya que todo el proceso se hacía en remoto con verificación vía SMS al número aportado de quién estaba contratando.

Donde en la práctica, era suficiente con conocer el nombre apellidos y el número de DNI para saltarse el filtro de verificación SIM ya que se podía recibir en otra dirección

Según explica el portal Genbeta, la compañía alegó que había sido víctima de un fraude cometido al margen de sus controles y por un tercero. Aunque la Agencia de Protección de Datos desestimó el argumento y consideró que las compañías de telecomunicaciones deben extremar las precauciones para evitar la suplantación.

De modo que, no es suficiente enviar un SMS quién contrata sin confirmar su DNI. Aunque DIGI anuló la deuda al suprimir los datos del contrato fraudulento, la AEPD sancionó a la compañía con una multa de 150.000 euros al vulnerar el artículo 6.1 del RGPD (falta de base jurídica válida), en aplicación del principio de responsabilidad proactiva (art. 5.2 RGPD): cumplir y poder acreditarlo con políticas, procedimientos y evidencias.

Fuente: Huffingtonpost y Genbeta

¿Qué significa vulnerar el artículo 6.1 del RGPD?

El artículo 6.1 del Reglamento General de Protección de Datos (RGPD) establece las bases legales que permiten tratar datos personales. Si una empresa usa o almacena datos sin consentimiento legítimo o sin justificación contractual válida, incurre en una infracción grave sancionable por la AEPD.

¿Qué consecuencias puede tener para una empresa no comprobar correctamente la identidad del cliente?

Además de las sanciones económicas, una mala gestión de los procesos de verificación puede dañar la reputación de la empresa, generar pérdidas de confianza y provocar responsabilidades legales si se produce un perjuicio a terceros.

¿Cuáles son las sanciones más comunes impuestas por la AEPD a las operadoras de telecomunicaciones?

Las más frecuentes se deben a fallos en la verificación de identidad, inclusión indebida en ficheros de morosidad, uso indebido de datos personales o falta de consentimiento expreso en contrataciones y comunicaciones comerciales.

A menudo vemos como sanciones impuestas por la AEPD suponen importantes costes para todo tipo de empresas. Es por ello que disponemos de una amplia trayectoria ayudando a negocios, profesionales y entidades a mejorar sus procesos para adaptarse a las normativas vigentes según su sector de actividad. Puedes solicitarnos un análisis de cumplimiento sin coste a través del enlace siguiente y nuestros especialistas te guiarán en el proceso.