Marcos Merino
EditorTodo comenzó hace dos años, cuando una usuaria, al intentar contratar los servicios de fibra e Internet móvil con DIGI, fue rechazada por aparecer como morosa: la empresa alegaba que mantenía una deuda pendiente desde 2021. Sin embargo, la afectada aseguró no haber contratado jamás con la operadora.
Ante esta negativa, la reclamante interpuso una denuncia ante la Guardia Civil, donde se abrió una investigación por usurpación de estado civil. DIGI le remitió una copia del supuesto contrato, en el que comprobó que sólo coincidían su nombre, apellidos y número de DNI; el resto de los datos —dirección, fecha de nacimiento y cuenta bancaria— pertenecían a otra persona.
De la desestimación al éxito del recurso
Unos meses después, la afectada presentó también una reclamación ante la AEPD, que en un primer momento fue archivada, pues se consideró que no se había acreditado una infracción imputable a DIGI. Sin embargo, la afectada no se dio por vencida y presentó un recurso potestativo de reposición, que fue estimado en mayo de 2024, ordenando la reapertura del expediente.
Tras nuevas actuaciones de investigación, la Agencia determinó que DIGI no verificó de manera efectiva la identidad de la persona que contrató los servicios en octubre de 2021, permitiendo que un tercero utilizara los datos personales de la víctima para formalizar un contrato fraudulento.
Deficiencias en el procedimiento de identificación
La resolución detalla que el proceso de alta de DIGI se realizó íntegramente online, mediante firma electrónica a través del prestador de servicios de confianza Logalty. La confirmación se efectuaba mediante un SMS al número de teléfono introducido por el contratante, sin comprobar si dicho número pertenecía realmente a la persona cuyos datos se aportaban.
Posteriormente, la tarjeta SIM se envió mediante Correos Express bajo la modalidad de "entrega exclusiva al destinatario", exigiendo la presentación del DNI. Sin embargo, la AEPD subraya que esa comprobación de identidad no era verificable ni quedó documentada. Es decir, Correos Express podía haber visto un DNI —real o falsificado—, pero no existía ninguna constancia objetiva de que el documento exhibido coincidiera con el verdadero titular de los datos usados.
En consecuencia, la Agencia concluye que el procedimiento de DIGI permitía que una persona que tuviera el nombre, apellidos y número de DNI de otra —información fácilmente obtenible— pudiera superar el control y recibir la SIM en una dirección de su elección.
En resumen, el fraude pudo consumarse porque:
- el sistema no verificaba la veracidad de los datos (solo que el DNI tuviera un formato correcto).
- la firma electrónica se validaba mediante un número de teléfono no autenticado.
- la verificación en la entrega era puramente visual y sin registro verificable.
La defensa de DIGI: "Fuimos víctimas de un fraude"
En su defensa, DIGI alegó haber actuado con la diligencia exigible y que el fraude fue cometido por un tercero ajeno a la compañía. Argumentó que su protocolo de contratación incluía medidas de seguridad suficientes —como la firma electrónica certificada y la verificación presencial en la entrega de la SIM— y que no podía exigírsele la implantación de mecanismos "infalibles" de autenticación.
Asimismo, sostuvo que la AEPD no podía imponerle responsabilidad objetiva por un delito cometido por otra persona, recordando que la jurisprudencia española exige demostrar dolo o culpa en la actuación de la entidad sancionada.
No obstante, la Agencia rechazó estos argumentos, destacando que las operadoras de telecomunicaciones, por la naturaleza de su actividad y el volumen de datos que manejan, deben extremar las medidas de verificación e implementar sistemas capaces de prevenir fraudes de identidad.
"No basta con confiar en un SMS"
La AEPD enfatizó que el sistema empleado por DIGI no ofrecía garantías suficientes, ya que el envío de un SMS a un número facilitado por el propio contratante no es una prueba fiable de identidad. Tampoco se acreditó que la empresa dispusiera de un mecanismo para demostrar que la persona que mostró el DNI en la entrega era realmente quien figuraba en el contrato:
"No basta con decir que el empleado comprobó el DNI sin poder acreditarlo de ningún modo".
El principio de "responsabilidad proactiva", recogido en el artículo 5.2 del RGPD, obliga a las empresas a no solo cumplir con la normativa, sino también a poder demostrarlo mediante políticas, procedimientos y evidencias documentadas.
Reparación posterior insuficiente
Tras ser denunciada ante la Guardia Civil, la operadora corrigió la situación, bloqueando la deuda y eliminando los datos relacionados con el contrato fraudulento. Sin embargo, la AEPD consideró que esta actuación, aunque adecuada, no exime la infracción inicial, ya que el tratamiento ilícito se había producido dos años antes.
El regulador también recordó que la empresa, como responsable del tratamiento, asume el riesgo derivado de sus procedimientos de verificación y no puede eludir su responsabilidad alegando la actuación de un tercero.
Una sanción ejemplar de 150.000 euros
Finalmente, la Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 150.000 euros a DIGI Spain Telecom S.L. por vulnerar el artículo 6.1 del Reglamento General de Protección de Datos (RGPD), que exige que todo tratamiento de datos personales cuente con una base jurídica válida.
El caso de DIGI se suma a otros expedientes similares tramitados por la AEPD contra operadoras que no verificaron correctamente la identidad de sus clientes. El regulador ha reiterado en numerosas ocasiones que la digitalización de los procesos de contratación no puede justificar la relajación de los controles de identidad, ya que los fraudes de suplantación siguen en aumento.
Vía | BandaAncha
Imagen | Marcos Merino mediante IA
