| Resolución | PS-00486-2024 |
| Firmado | 2025-11-23T00:00:00Z |
| Enlace | 📋 |
La decisión sanciona a DIGI SPAIN TELECOM, S.L.U. por una infracción del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), tipificada en el artículo 83.5.a) del mismo reglamento. La infracción se refiere a la emisión de un duplicado de tarjeta SIM a un tercero no autorizado, sin verificar adecuadamente la identidad del solicitante. Este acto se considera un tratamiento ilícito de datos personales, ya que no se cumplió con ninguna de las bases legitimadoras establecidas en el artículo 6.1 del RGPD.
La sanción impuesta es de 120.000 euros. La decisión se basa en varios factores, incluyendo la naturaleza y gravedad de la infracción, la intencionalidad o negligencia en la infracción, y la falta de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos. Además, se considera que DIGI ha cometido infracciones similares en el pasado, lo que agrava su responsabilidad.
DIGI argumentó que las medidas de seguridad implementadas fueron adecuadas y que la suplantación de identidad fue resultado de un fraude sofisticado. Sin embargo, la autoridad de protección de datos determinó que la empresa no demostró suficiente diligencia en la verificación de la identidad del solicitante, lo que resultó en un tratamiento ilícito de datos personales. La sanción busca ser disuasoria y asegurar el cumplimiento de la normativa de protección de datos en el futuro.