Multa de 100.000 euros a Vodafone por no verificar la identidad falsa de un cliente

Vodafone ha perdido una importante batalla por la gestión de los datos personales de sus clientes. La Agencia Española de Protección de Datos (AEPD) ha sancionado a la compañía telefónica con 100.000 euros por no comprobar debidamente la identidad de un nuevo cliente, que contrató una línea y que, presuntamente, fue utilizada para estafar en Internet.

Los hechos se remontan a noviembre de 2019 cuando una persona acudió a una tienda Vodafone para contratar una tarjeta prepago. No obstante, pocos meses después, la compañía de telecomunicaciones recibió una denuncia, en la que se le acusaba de haber dado de alta una línea sin autorización del titular y cuyos datos personales habían sido cedidos a la Guardia Civil en el marco de una investigación por una estafa vinculada a dicho número de teléfono en Wallapop. Es más, debido a la gestión de estos datos, la denunciante se vio obligada a comparecer como investigada en dos juzgados por el presunto fraude perpetrado en la plataforma de compraventa de productos de segunda mano. En ese momento, las sospechas de una posible suplantación de identidad comenzaban a coger forma.

La denunciante aseguró que nunca había sido titular de ningún número en dicha operadora de telefonía y así lo puso de manifiesto ante la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales (SETID), que instó a Vodafone a comprobar lo sucedido y ordenó a la baja inmediata de la línea. Tras realizar una serie de averiguaciones, la compañía mandó una carta de disculpas a la persona afectada.

Vulneración de datos personales

Los hechos también se pusieron en manos de la AEPD, que inició un expediente el 3 de febrero de 2022 por posible vulneración de datos personales y que concluyó con la multa administrativa de 100.000 euros. Según expone en una resolución sancionadora del pasado 3 de noviembre, Vodafone no demostró tener “una conducta proactiva” para adoptar “medidas técnicas y organizativas” en materia de protección de datos.

De este modo, desestimó las alegaciones de la empresa de telefonía, que defendió el tratamiento de los datos personales conforme a la legislación, al tiempo que aseguró que se implementaron “todas las medidas de seguridad necesarias”. Así, atribuyó cualquier tipo de responsabilidad a un “tercero quien, actuando con dolo, ha suplantado la identidad” de una persona para poder solicitar una tarjeta prepago en nombre de otra.

En respuesta a estos argumentos, la directora de la AEPD, Mar España Martí, subraya en su resolución que el empleado en tienda encargado de realizar el contrato tenía la obligación de “reconocer” si los datos que facilitó el solicitante de la línea telefónica son los mismos que aparecen en el documento acreditativo de identidad, que en este caso fue un pasaporte. Es decir, que tiene la obligación de verificar si coinciden los “elementos o rasgos” presentados, tanto información como imagen física.

En este sentido, la AEPD afirma que “la política de seguridad de Vodafone es claramente ineficaz e insuficiente” al no tomar en consideración “el evidente riesgo que la contratación de los servicios que comercializa representa para los derechos y libertades de las personas”. Asimismo, critica que la compañía se haya limitado en todo momento a achacar la culpa al “tercero que contrató con ella”, pero “sin aportar ninguna prueba” que demuestre que el trabajador que intervino en la contratación recabó algún documento que acreditara que el cliente “era efectivamente el titular de los datos que había facilitado como propios” o que se articuló “algún mecanismo que permitiera contrastar la veracidad de los datos de identidad proporcionados”.

Multa confirmada

Por todo ello, la Agencia de Protección de Datos acordó la sanción a Vodafone por vulneración del artículo 6.1 del Reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Una multa que, a finales de diciembre, fue confirmada por el propio organismo público, tras rechazar un recurso de reposición presentado por la operadora para advertir de que, debido a un “error humano”, no se benefició de la reducción del 20% -dejando el importe en 80.000 euros- prevista por el pago voluntario.

Según indicó en el escrito, la compañía hizo la transferencia a una cuenta equivocada, lo que motivó al organismo público a ratificar la multa de 100.000 euros, al no poder constatar la intención de pago por parte de la sancionada. Aun así, la AEPD no aceptó las explicaciones de Vodafone porque, según consta en el expediente, la firma de telecomunicaciones realizó el pago días después de que se dictara la resolución sancionadora, superando así el plazo establecido por ley para las rebajas de las multas. Así, se cierra la vía administrativa, pero Vodafone todavía puede recurrir ante la Audiencia Nacional.