En noviembre de 2022 un “cliente” solicitó un duplicado de tarjeta SIM a la compañía Orange. En principio, el duplicado de tarjeta SIM es un proceso sencillo y rápido, en ocasiones necesario por desgaste de la anterior tarjeta o pérdida del dispositivo que la contenía. Sin embargo, en este caso, los empleados de la tienda realizaron el duplicado de tarjeta SIM sin comprobar que dicho cliente era el titular de la referida tarjeta SIM.
El resultado es que se produjo una suplantación de identidad del verdadero dueño de la tarjeta que provocó que le sustrajeran cerca de 9.000 euros de sus cuentas bancarias.
La víctima fue consciente cuando dejó de tener cobertura en su teléfono y es que, al entrar en funcionamiento la nueva SIM duplicada de los ciberdelincuentes, la SIM original deja de funcionar.
Una vez que se comunicó la incidencia a la compañía telefónica, ésta procedió a cancelar la tarjeta SIM duplicada; sin embargo, los delincuentes ya habían sustraído cerca de 9.000 euros de sus cuentas bancarias.
A pesar de que Orange aseguró a la AEPD que contaba con un protocolo estricto y específico para sus empleados de identificación del titular de la tarjeta SIM ante la solicitud de un duplicado de la misma, y que se trataba de una mala praxis por parte de los trabajadores, la AEPD recuerda que el responsable de tratamiento de los datos personales debe adoptar las medidas de seguridad técnicas y organizativas precisas para asegurar la protección de los datos personales (de forma preventiva).
Además, señala la AEPD que la empresa, además de implementar las políticas internas necesarias, debe controlar y asegurarse de que efectivamente se cumplen.
Por todo ello, la AEPD concluye que la compañía Orange es responsable de una infracción del artículo 6 del Reglamento General de Protección de Datos (RGPD UE 679/2016), respecto a la licitud del tratamiento de datos, y le impone una sanción de 200.000 euros. Y, del mismo modo, la encuentra responsable de una infracción del artículo 25 del mismo texto legal, sobre la protección de datos desde el diseño, imponiéndole una multa de 1.000.000 euros. Posteriormente, la compañía recurrió en reposición, pero el recurso ha sido desestimado por la AEPD.