Madrid, 14 mar (.).- La Audiencia Nacional ha ratificado la multa de 900.000 impuesta por la Agencia de Protección de Datos (APD) a Telefónica (BME:TEF) por no proteger adecuadamente la seguridad en el tratamiento de los datos personales para tramitar las tarjetas SIM.
En una sentencia fechada el pasado 8 de febrero a la que ha tenido acceso EFE, la sala de lo contencioso desestima el recurso de Telefónica contra una resolución de 8 de noviembre de 2021 de la Agencia Española de Protección de Datos por una infracción muy grave.
En aquella ocasión, la APD sancionó con un total de 5,81 millones de euros a cuatro compañías: Vodafone (LON:VOD), cuya multa era de 3,94 millones; Telefónica (900.000); MásMóvil (BME:MASM) (200.000) y Orange (EPA:ORAN) (770.000), por no proteger adecuadamente la seguridad en el tratamiento de los datos personales para tramitar las tarjetas SIM.
La APD acusaba a las operadoras de incumplir el Reglamento General de Protección de Datos (RGPD) en lo relativo al tratamiento de los datos de sus clientes de manera que se garantice la confidencialidad e integridad, tras haber recibido varias reclamaciones por parte de diversos usuarios afectados, la mayoría en 2019.
Las multas se impusieron tras las reclamaciones presentadas, la mayoría en 2019, por usuarios de estos operadores, que denunciaron que se les había suplantado su identidad para hacer un duplicado de tarjeta SIM a favor de una tercera persona distinta al titular de la línea, con el objeto de acceder a las claves de confirmación para realizar transferencias bancarias.
La emisión de un duplicado de tarjeta SIM, indica la Audiencia Nacional en su sentencia, supone el tratamiento de los datos personales de su titular, y exige que los titulares de todas las tarjetas SIM, ya sean de prepago o de contrato, estén debidamente identificados y registrados.
A la hora de obtener un duplicado de la tarjeta SIM, la persona que lo solicite debe identificarse, y su identidad debe coincidir con la del titular.
En el presente caso, Telefónica, que era "responsable y encargado del tratamiento de datos", no actuó con la debida diligencia, por lo que es responsable del duplicado irregular.
La operadora "no había garantizado una seguridad adecuada en el tratamiento de los datos personales, como se deriva del resultado que produjo la suplantación de identidad".
Y, por ello, "un tercero consiguió acceder a los datos personales de los titulares de las líneas sin que las medidas de seguridad que existían hubieran podido impedirlo", aclara la Sala.