ARTDEPARTMENT
ARTDEPARTMENT
Todo comenzó hace dos primaveras, cuando una usuaria, al intentar contratar los servicios de fibra e Internet móvil con DIGI, fue rechazada por aparecer como morosa: la empresa alegaba que mantenía una deuda irresoluto desde 2021. Sin requisa, la afectada aseguró no suceder contratado quia con la operadora.
En presencia de esta negativa, la reclamante interpuso una denuncia delante la Guarnición Civil, donde se abrió una investigación por usurpación de estado civil. DIGI le remitió una copia del supuesto arreglo, en el que comprobó que sólo coincidían su nombre, apellidos y número de DNI; el resto de los datos —dirección, data de inicio y cuenta bancaria— pertenecían a otra persona.
Unos meses a posteriori, la afectada presentó todavía una exigencia delante la AEPD, que en un primer momento fue archivada, pues se consideró que no se había acreditado una infracción imputable a DIGI. Sin requisa, la afectada no se dio por vencida y presentó un solicitud potestativo de reposición, que fue estimado en mayo de 2024, ordenando la reapertura del expediente.
Tras nuevas actuaciones de investigación, la Agencia determinó que DIGI no verificó de guisa efectiva la identidad de la persona que contrató los servicios en octubre de 2021, permitiendo que un tercero utilizara los datos personales de la víctima para formalizar un arreglo fraudulento.
La resolución detalla que el proceso de suscripción de DIGI se realizó íntegramente online, mediante firma electrónica a través del prestador de servicios de confianza Logalty. La confirmación se efectuaba mediante un SMS al número de teléfono introducido por el contratante, sin comprobar si dicho número pertenecía efectivamente a la persona cuyos datos se aportaban.
Seguidamente, la maleable SIM se envió mediante Correos Express bajo la modalidad de "entrega monopolio al destinatario", exigiendo la presentación del DNI. Sin requisa, la AEPD subraya que esa comprobación de identidad no era verificable ni quedó documentada. Es asegurar, Correos Express podía suceder conocido un DNI —positivo o falsificado—, pero no existía ninguna constancia objetiva de que el documento exhibido coincidiera con el real titular de los datos usados.
En consecuencia, la Agencia concluye que el procedimiento de DIGI permitía que una persona que tuviera el nombre, apellidos y número de DNI de otra —información fácilmente obtenible— pudiera pasar el control y aceptar la SIM en una dirección de su votación.
En breviario, el fraude pudo consumarse porque:
En su defensa, DIGI alegó suceder actuado con la diligencia exigible y que el fraude fue cometido por un tercero al margen a la compañía. Argumentó que su protocolo de contratación incluía medidas de seguridad suficientes —como la firma electrónica certificada y la comprobación presencial en la entrega de la SIM— y que no podía exigírsele la implantación de mecanismos "infalibles" de autenticación.
Asimismo, sostuvo que la AEPD no podía imponerle responsabilidad objetiva por un delito cometido por otra persona, recordando que la justicia española exige demostrar dolo o falta en la recital de la entidad sancionada.
No obstante, la Agencia rechazó estos argumentos, destacando que las operadoras de telecomunicaciones, por la naturaleza de su actividad y el grosor de datos que manejan, deben extremar las medidas de comprobación e implementar sistemas capaces de organizar fraudes de identidad.
La AEPD enfatizó que el sistema empleado por DIGI no ofrecía garantías suficientes, ya que el emisión de un SMS a un número facilitado por el propio contratante no es una prueba fiable de identidad. Siquiera se acreditó que la empresa dispusiera de un mecanismo para demostrar que la persona que mostró el DNI en la entrega era efectivamente quien figuraba en el arreglo:
"No baste con asegurar que el empleado comprobó el DNI sin poder acreditarlo de ningún modo".
El principio de "responsabilidad proactiva", recogido en el artículo 5.2 del RGPD, obliga a las empresas a no solo cumplir con la legislatura, sino todavía a poder demostrarlo mediante políticas, procedimientos y evidencias documentadas.
Tras ser denunciada delante la Guarnición Civil, la operadora corrigió la situación, bloqueando la deuda y eliminando los datos relacionados con el arreglo fraudulento. Sin requisa, la AEPD consideró que esta recital, aunque adecuada, no exime la infracción original, ya que el tratamiento ilícito se había producido dos primaveras antaño.
El regulador todavía recordó que la empresa, como responsable del tratamiento, asume el peligro derivado de sus procedimientos de comprobación y no puede eludir su responsabilidad alegando la recital de un tercero.
Finalmente, la Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 150.000 euros a DIGI Spain Telecom S.L. por vulnerar el artículo 6.1 del Reglamento Caudillo de Protección de Datos (RGPD), que exige que todo tratamiento de datos personales cuente con una colchoneta jurídica válida.
El caso de DIGI se suma a otros expedientes similares tramitados por la AEPD contra operadoras que no verificaron correctamente la identidad de sus clientes. El regulador ha reiterado en numerosas ocasiones que la digitalización de los procesos de contratación no puede discurrir la laxitud de los controles de identidad, ya que los fraudes de suplantación siguen en aumento.
Vía | BandaAncha
Imagen | Marcos Merino mediante IA
En Genbeta | La AEPD permite labrar las odiosas llamadas comerciales para denunciarlas: un nuevo procedimiento para evitar que te molesten más
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.