El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación al marco jurídico vigente del acceso por parte de las Fuerzas y Cuerpos de Seguridad del Estado (FCS) a la información que las operadoras de telecomunicaciones poseen sobre el proceso de duplicación de tarjetas SIM, conocido como SIM Swapping. Este tipo de estafa implica que un tercero, tras obtener las credenciales de acceso de la víctima, solicita a la operadora un duplicado de la tarjeta SIM para recibir mensajes de confirmación de operaciones bancarias, permitiéndole así realizar transacciones fraudulentas.
El informe destaca que la Ley 25/2007 de 18 de octubre, que regula la conservación de datos relativos a las comunicaciones electrónicas, sigue vigente a pesar de la anulación de la Directiva 2006/24/CE por el Tribunal de Justicia de la Unión Europea (TJUE) debido a su falta de proporcionalidad. La AEPD concluye que la normativa española cumple con los principios de proporcionalidad y protección de datos, y que la Ley 25/2007 se complementa con los preceptos de la Ley de Enjuiciamiento Criminal (LECrim).
En cuanto al acceso a la información sobre el IMEI y el IMSI, el informe señala que no siempre será necesario un mandamiento judicial. Si la solicitud de información no está vinculada a un proceso de comunicación concreto, sino a la identificación del titular de un dispositivo o tarjeta SIM, no se aplicará la Ley 25/2007, y por tanto, no se requerirá autorización judicial. Esto se basa en el artículo 588 ter m) de la LECrim, que permite a las FCS y al Ministerio Fiscal solicitar directamente a las operadoras información sobre la titularidad de números de teléfono o dispositivos de comunicación sin necesidad de autorización judicial.
El informe también subraya la importancia de que las operadoras de telecomunicaciones y las entidades bancarias implementen medidas adecuadas para proteger los datos personales y prevenir este tipo de estafas. Las operadoras deben cumplir con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), asegurando la integridad y confidencialidad de los datos y evitando el acceso no autorizado. Por su parte, las entidades bancarias deben aplicar la autenticación reforzada de clientes conforme al Real Decreto-ley 19/2018.
En resumen, el informe concluye que el acceso a la información sobre el IMEI y el IMSI por parte de las FCS y el Ministerio Fiscal puede ser conforme a derecho, siempre que se cumplan los requisitos establecidos en la normativa vigente y se respeten los principios de proporcionalidad y protección de datos. Además, se enfatiza la necesidad de que las operadoras y entidades bancarias implementen medidas de seguridad adecuadas para prevenir este tipo de estafas.