Vodafone, Telefónica, MásMóvil y Orange, multadas por la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos ha sancionado con 5,81 millones de euros a Vodafone -que se ha llevado la mayor parte de la multa, 3,94 millones-, Telefónica, MásMóvil y Orange por no proteger adecuadamente la seguridad en el tratamiento de los datos personales para tramitar las tarjetas SIM.

Concretamente, les multa por una infracción muy grave por incumplir el Reglamento General de Protección de Datos (RGPD), en lo que concierne al tratamiento de los datos de sus clientes de manera que se garantice la confidencialidad e integridad, tras haber recibido varias reclamaciones por parte de diversos usuarios afectados, la mayoría en 2019.

Así, ha impuesto una multa a Telefónica de 900.000 euros; Orange, 770.000, de ellos 70.000 por Symio; y MásMóvil, 200.000 (Xfera), según las resoluciones que ha hecho públicas la AEPD entre el 1 y 2 de febrero.

A Vodafone, la AEPD le impone una mayor sanción que al resto.

En el caso de Vodafone, la AEPD aplica como agravante la negligencia debido a la tardanza que considera que el operador tuvo en la adopción de medidas correctoras una vez producido el duplicado de la tarjeta SIM, ya que, según explica, corrigió las vulnerabilidades cuando se lo comunicó la Agencia de Protección de Datos y no tras tener constancia de ello.

«El hecho de no corregir las vulnerabilidades a tiempo ha agravado el daño a las personas afectadas», explica la APD.

Las multas se han impuesto tras las reclamaciones presentadas, la mayoría en 2019, por usuarios de estos operadores, que denunciaron que se les había suplantado su identidad, para hacer un duplicado de tarjeta SIM a favor de una tercera persona distinta al titular de la línea, con el objeto de acceder a las claves de confirmación para realizar transferencias bancarias.

UNA SANCIÓN «IMPROCEDENTE»

Por el momento desde los operadores no han hecho ningún tipo de reacción, tras ser preguntado por EFE, salvo Vodafone que, en un comunicado, ha considerado desproporcionada la sanción teniendo en cuenta que se han tratado de incidentes excepcionales que no pueden poner en duda los altos estándares de seguridad de los operadores.

Además, considera «improcedente» que se les responsabilice de estos delitos bancarios, teniendo en cuenta que no intervienen ni tienen relación alguna con el diseño de la seguridad de las transferencias, cuya definición es decidida exclusivamente por las entidades bancarias.

La perpetración de este tipo de delitos requiere de la obtención previa, mediante engaño, de las claves bancarias de la víctima, ha añadido.

Vodafone ha afirmado que la protección de sus clientes, en todas las gestiones que se realizan utilizando sus redes y servicios, es una prioridad.

Ha apuntado que, aunque la mejora del diseño de la seguridad de los procesos de realización de operaciones bancarias es responsabilidad de los bancos y entidades de crédito, continuará actualizando y reforzando sus protocolos de forma continua para mejorar y para hacer frente a las cada día más complejas y diversas amenazas que los delincuentes desarrollan contra la seguridad de la información.