No basta con un SMS: multa histórica de 150.000 euros a Digi por tachar de morosa a una usuaria

Seguro que alguna vez has oído hablar de las listas negras de morosos: entrar en ellas es facilísimo, pero salir puede convertirse en una auténtica odisea. Eso fue justo lo que le ocurrió a una usuaria que fue incluida por error como morosa por Digi, a pesar de que nunca había tenido relación con la operadora.

El problema es que, para Digi, esta persona figuraba como antigua clienta y, además, como deudora, lo que le impedía contratar nuevos servicios. Tras pasar por varias reclamaciones, el caso acabó con una multa histórica para la compañía.

Los hechos

En este caso, una usuaria se topó con un problema cuando en mayo de 2023, la afectada intentó contratar con Digi y descubrió que figuraba como morosa por una deuda generada (desde 2021) por esa línea fraudulenta a pesar de que nunca había firmado ningún contrato con la compañía.

Suplantación de identidad. Ante la imposibilidad de continuar con la contratación y aparecer como morosa, decidió denunciar el caso ante la Guardia Civil, donde se descubrió que alguien había utilizado su nombre, apellidos y número de DNI para firmar un contrato fraudulento. Solo esos datos coincidían; el resto —dirección, fecha de nacimiento y cuenta bancaria— pertenecían a otra persona.

La culpa era de Digi. En un primer momento, la denuncia fue desestimada, pero más tarde la AEPD reabrió el expediente y concluyó en un expediente (se puede consultar en este enlace) que la operadora no verificó correctamente la identidad del contratante, permitiendo así la suplantación.

Un cúmulo de circunstancias hicieron posible el fraude. Todo el proceso se realizó completamente en línea: bastó una firma electrónica validada por SMS y respaldada por la empresa Logalty. 

Además la tarjeta SIM fue enviada por Correos Express bajo la modalidad “entrega exclusiva al destinatario”. El problema es que, en esta entrega, no quedó constancia de que el DNI mostrado perteneciera realmente a la usuaria afectada. En la práctica, podría haberse presentado cualquier documento sin que existiera una verificación efectiva de identidad.

Digi era responsable. La AEPD consideró que el procedimiento de la operadora para comprobar la autenticidad de la información era insuficiente, ya que no comprobaba la veracidad de los datos, validaba un número de teléfono no autenticado y no documentaba la verificación del DNI. En definitiva, cualquiera con los datos básicos de otra persona podía contratar servicios a su nombre:

El órgano regulador señaló que, aunque el fraude lo cometió un tercero, la empresa debía haber implementado medidas técnicas y organizativas adecuadas (art. 25 RGPD: “protección de datos desde el diseño”).

La defensa de DIGI

Digi alegó haber sido víctima de un tercero y defendió sus medidas de seguridad, pero la AEPD rechazó sus argumentos, recordando que las operadoras deben aplicar controles reforzados por el volumen de datos que manejan.

El regulador subrayó que no basta con confiar en un SMS y que las empresas deben demostrar de forma documentada sus medidas de verificación, conforme al principio de responsabilidad proactiva del RGPD.

"No basta con decir que el empleado comprobó el DNI sin poder acreditarlo de ningún modo".

Además, la AEPD considera el DNI/NIF como un dato de especial protección por su capacidad de identificación directa (artículos 51 y 75 RGPD).

La sanción

Aunque Digi corrigió la situación bloqueando la deuda y eliminando los datos falsos, la AEPD impuso a la operadora una multa de 150.000 euros. Lo hizo además citando dos sanciones previas a Digi por casos similares de suplantación (duplicados de SIM sin verificar identidad) y por vulnerar el artículo 6.1 del RGPD, al no contar con una base legal válida para el tratamiento de los datos. 

En Xataka Móvil | Cómo saber si han clonado tu tarjeta SIM, qué puedes hacer ante el duplicado de tarjeta no autorizado y cómo minimizar riesgos