| Resolución | AI-00332-2023 |
| Firmado | 2025-01-03T00:00:00Z |
| Enlace | 📋 |
La decisión se refiere a una sanción impuesta a ORANGE ESPAGNE, S.A.U. por dos infracciones relacionadas con la protección de datos personales. La primera infracción se refiere al artículo 6 del RGPD, que establece las bases legales para el tratamiento de datos personales. La segunda infracción se refiere al artículo 25 del RGPD, que exige que los responsables del tratamiento implementen medidas técnicas y organizativas adecuadas para proteger los datos desde el diseño y por defecto.
La sanción se debe a que ORANGE permitió la emisión de un duplicado de la tarjeta SIM de un cliente sin su consentimiento, lo que permitió a un tercero suplantar la identidad del cliente y realizar operaciones bancarias fraudulentas. La empresa no había implementado medidas suficientes para verificar la identidad del solicitante del duplicado, lo que vulnera tanto el artículo 6 como el artículo 25 del RGPD.
La sanción impuesta es de 200.000 euros por la infracción del artículo 6 y de 1.000.000 euros por la infracción del artículo 25. Además, ORANGE debe notificar a la Agencia Española de Protección de Datos las medidas adoptadas para garantizar que futuras solicitudes de duplicado de tarjeta SIM sean realizadas por el titular de la línea.