Las estafas de SIM Swapping y el principio de responsabilidad proactiva

Siguiendo el post anterior, la Agencia Española de Protección de Datos sancionó por mas de 5 millones de euros en total, a Vodafone, Telefónica, Orange y Xfera, por no cumplir con el principio de integridad y confidencialidad de los datos personales y por no ser proactivos en su cumplimiento.

A continuación te contaremos en detalle cuales fueron los hechos y sus consecuencias.

La estafa de SIM Swapping es cada vez más recurrente y como ha sido explicado por El Mundo: “Se trata del fraude telefónico denominado SIM swapping, una técnica que consiste en la duplicación de la tarjeta SIM del teléfono móvil de la víctima. El fin es tener acceso al número telefónico para usurpar la identidad del perjudicado para acceder a su cuenta del banco y robarle el dinero.”

Como la sanción a Vodafone ha sido la mayor (3.940.000 euros), entraremos en detalles de la misma a continuación.

¿Qué infracciones cometió Vodafone?

La resolución de la AEPD considera que Vodafone ha vulnerado el Reglamento General de Protección de Datos (“RGPD”), en lo siguiente:

• El principio de integridad y confidencialidad de los datos personales, ya que ha otorgado acceso a tarjetas SIMs personales sin haber cumplido con medidas de diligencia debida para asegurarse de que el solicitante era realmente la persona que decía ser;
• El principio de responsabilidad proactiva;

Esta infracción podría conllevar una multa de 20.000.000,00 euros como máximo, la cual ha sido graduada en 3.940.000 euros por la cantidad de datos afectados y principio de proporcionalidad, entre otros.

El principio de responsabilidad proactiva

Una de las mayores consecuencias de esta resolución para empresas y emprendedores es que ya no solo basta con redactar una política de privacidad y seguridad en la web, sino que es necesario ir un paso más allá y tomar una responsabilidad proactiva de los datos personales sobre los cuales son responsables.

Para lograr este cambio de paradigma, es de gran importancia que los departamentos de compliance dejen de ser considerados como un “cost center” y pasen a ser vistos como una herramienta indispensable para la mitigación de riesgos.

Para ello, una gran herramienta, que ha menudo ha ido en contra del crecimiento de dichos departamentos, son las métricas o KPIs. El principal problema de estas, es que siempre han sido utilizadas para medir el costo del departamento en vez de los riesgos mitigados.

La pregunta que se desprende es:

¿Es realmente más efectivo tener un departamento con bajos recursos?
Quizás es momento de empezar a crear business cases para mostrar cuánto ahorra un equipo de compliance funcionando correctamente, ya que las sanciones comienzan a ser moneda frecuente.

En el caso de Vodafone España, la AEPD ha impuesto una multa por no haber protegido correctamente los datos personales de sus usuarios de casi 4 millones de euros, sin contar los costos indirectos como daño reputacional y clientes que decidan cambiarse de operadora o no contratar con ellos. (Tener en consideración que Vodafone ya ha sido multada por la AEPD por 8 millones de euros)

Con el constante incremento del monto de las sanciones de la AEPD, podríamos haber pasado ya el punto donde es más económico ser proactivos en materia de protección de datos que esperar a no ser sancionados.

¿Qué significa si soy una PYME o Autónomo?

El hecho de ser una pequeña empresa o un autónomo no exime del cumplimiento del RGPD y por ello este tipo de resoluciones también tienen impacto en su operatoria.

Recordemos que las sanciones son graduadas, entre otros, bajo el principio de proporcionalidad y en base a la cantidad de datos personales procesados.

Por ello, lo que para una multinacional como Vodafone es una multa de 4 millones de euros, para una pequeña empresa puede ser una multa mucho menor pero que igualmente puede tener un impacto muy grande en sus finanzas.

Ejemplos de multas a PYMES

Ver por ejemplo este caso, en donde la AEPD multó a una asesoría con 3.000€ por enviar un email a una casilla de correo equivocada. La mayoría de estas multas surgen de denuncias particulares de clientes o ex-clientes.

De esta postura de la AEPD desprendemos que si bien para una PYME o Autónomo es económicamente inviable tener un departamento interno de compliance, es necesario que cuenten con apoyo de especialistas para diseñar su política y medidas de procesamiento de datos adecuadas.

Cómo evito las sanciones siendo una PYME o Autónomo

Como hemos hablado anteriormente en este y otros post, como expertos en protección de datos personales, consideramos ampliamente recomendable para pequeñas y medianas empresas invertir en la prevención.

¿Qué quiere decir esto?

Apoyarse en expertos para desarrollar un buen plan de acción ante casos de fuga de información puede salvar a una PYME de ser sancionada por el regulador.

Demostrar el trabajo previo, y que han tomado todos los recaudos necesarios para evitar el robo de información será uno de los principales puntos que tendrá el regulador en consideración al momento de evaluar la posible sanción.

Ahora que te hemos contado cuales son las consecuencias de una fuga o robo de información confidencial y datos personales ¿Por qué no inviertes hoy para evitar una sanción mañana?

Si aún tienes dudas, consulta con uno de nuestros expertos. La primer consulta será totalmente gratuita.