Suplantó a otra persona para solicitar una copia de la tarjeta SIM y realizar transferencias a través de Bizum. Esto no habría sido posible si la compañía hubiese aplicado bien las medidas de seguridad.
La Agencia Española de Protección de Datos (AEPD) ha sancionado a Orange con 30.000 euros por no verificar la identidad de un usuario que suplantó la de otra persona para solicitar una copia de la tarjeta SIM y realizar transferencias a través de Bizum.
Según el organismo, esto no habría sido posible si la compañía hubiese aplicado correctamente las medidas de seguridad necesarias para asegurar la autenticidad de los datos aportados por el cliente, así como las relacionadas con verificar la titularidad de la línea.
El conflicto se originó en febrero de 2020, cuando el afectado solicitó un cambio de compañía de Yoigo a MásMóvil y, aunque al día siguiente anuló telefónicamente dicha portabilidad, una de las líneas quedó retenida en MásMóvil. Todo a pesar de que la compañía aseguró que dicha transferibilidad había sido anulada, por lo que no se hizo entrega de la tarjeta SIM.
Según recoge la resolución, el afectado se dio cuenta en marzo de que no tenía línea en el móvil, contacta con Yoigo y ésta le comenta que le mandarán una nueva SIM y lo resolverán. Sin embargo, el usuario percibe días más tarde que terceras personas han realizado transferencias bancarias no autorizadas, de alto importe, desde su cuenta en BBVA (dos de ellas realizadas por Bizum). Tras investigar los hechos, descubrió que su número de teléfono pertenecía a Orange desde el día en que se produjeron los movimientos de dinero, pero la línea no estaba a su nombre.
En concreto, el estafador había realizado reiteradas solicitudes de portabilidad de la línea del afectado desde el día en que la víctima anuló la portabilidad en febrero, las cuales fueron detenidas en los sistemas por fraude. Esto fue posible porque el operador donante y receptor (de Yoigo a MásMóvil) pertenecen a la misma empresa. Sin embargo, volvió a intentarlo en marzo, esa vez con la compañía Orange, consiguiendo pasar la seguridad.
El 17 de marzo, la víctima interpuso una denuncia ante la AEPD contra Orange, que alegó que los controles de verificación de identidad habían sido aplicado de forma correcta y que, además, en los últimos meses habían implantado sistemas y medidas relativas a constatar la identidad de los clientes.
No obstante, la agencia mantiene que la compañía actuó de forma negligente. En la resolución, el organismo recuerda el artículo 6 del Reglamento General de Protección de Datos, que establece que «se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen». Este artículo fue vulnerado, lo que conlleva una infracción muy grave.
Por lo tanto, la AEPD sancionó a Orange con 50.000 euros, que fueron rebajados a 30.000 por realizar el pago de forma voluntaria y reconocer su responsabilidad, renunciando así su derecho a reclamar la multa.
