AEPD sanciona a Digi Spain Telecom con 200.000 euros por fallos en la verificación de identidad y emisión ilícita de tarjetas SIM

DIGI SPAIN TELECOM, S.L.U. fue sancionada con una multa de 200.000 euros por una infracción del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.5.a) del mismo reglamento. La sanción se impuso tras un procedimiento sancionador en el que se determinó que la empresa emitió duplicados de tarjetas SIM a un tercero sin verificar adecuadamente su identidad, lo que permitió un tratamiento ilícito de datos personales.

El caso se originó cuando un tercero, utilizando el DNI del titular de una línea móvil, solicitó y obtuvo duplicados de la tarjeta SIM en dos ocasiones en puntos de venta de DIGI. El titular de la línea, al perder el servicio, tuvo que solicitar nuevos duplicados, lo que evidenció la suplantación de identidad. DIGI argumentó que contaba con un procedimiento de seguridad que fue seguido escrupulosamente, pero se demostró que hubo errores humanos en la verificación de la identidad del solicitante.

La resolución desestimó las alegaciones de DIGI, señalando que la mera existencia de un procedimiento de seguridad no justifica una vulneración del principio de licitud del tratamiento de datos. Se subrayó que las medidas de seguridad deben ser efectivas y cumplirse estrictamente. Además, se consideró que la empresa no había demostrado la diligencia debida en la verificación de la identidad de los solicitantes de los duplicados de tarjeta SIM.

La sanción se justificó por la gravedad de la infracción, la negligencia en la verificación de la identidad, y la existencia de infracciones anteriores similares. Se desestimaron las circunstancias atenuantes alegadas por DIGI, como la falta de tratamiento de categorías especiales de datos y la cooperación con la autoridad de control, ya que no se consideraron suficientes para reducir la sanción. La resolución también rechazó la petición de reducción de la sanción por falta de proporcionalidad, argumentando que la infracción afectaba a un principio básico del derecho a la protección de datos y entrañaba un riesgo importante para los derechos de los interesados.