Los magistrados de la Sala de lo Contencioso admiten en parte los argumentos presentados por la operadora de telecomunicaciones, que estos días negocia un Expediente de Regulación (ERE) de empleo para casi 1.200 empleados en España, y reducen de casi 4 millones a menos de 2 millones.
La sanción se formalizó en una resolución de la directora general de la Agencia Española de Protección de Datos en noviembre de 2021. Concluía que existía la infracción de dos artículos que es calificada como muy grave. La conclusión: el pago de 3,94 millones de euros. Es una cantidad muy relevante. Se conoció el mismo día en el que se anunció otra a Google de 10 millones de euros. En el caso de la teleco, el procedimiento se hizo en paralelo a otras compañías del sector pero la multa fue con diferencia la más cuantiosa. La clave: un fraude de identidad denominado ‘Sim Swapping’ que consiste en obtener un duplicado asociada a un usuario sin su permiso. Se denunciaron una veintena de casos. La compañía reclamó ante la Audiencia Nacional. Pedía que se declarara no conforme a derecho y se anulara y en caso de que esto no sucediera se redujera «atendiendo al carácter desproporcionado» de de la cifra, según queda reflejado en la sentencia de la Sala de lo Contencioso, consultada por La Información. También se denunciaba que se había vulnerado el principio de responsabilidad proactiva, pues la compañía ya había informado sobre medidas adoptadas previamente.
El primer intento fue infructuoso. La Audiencia confirma que la resolución de la AEPD se basa en nueve casos acontecidos entre el 2 de septiembre de 2019 y el 8 de junio de 2020, en todos los cuales no fue aportado o bien el DNI o bien copia de la grabación de la correspondiente llamada telefónica. Se entiende que las medidas de seguridad «no eran las adecuadas». Por tanto, no se pudo anular la resolución, pues entiende que es responsable de la infracción del reglamento de protección de datos. Tampoco cree que haya habido una infracción de culpabilidad.
Habiendo denegado esa anulación, los jueces entran a valorar reclamaciones de la empresa que señalan a esa reducción de la sanción. Por un lado, los magistrados dan la razón a la operadora de telecomunicaciones y confirman que Vodafone ha dado cumplimiento al principio de responsabilidad proactiva. Es decir, había tomado medidas técnicas y organizativas vinculadas a ese duplicado fraudulentas de tarjetas SIM para incrementar la seguridad. e implantar «un modelo más eficaz de evitación del riesgo de suplantación de identidad».
El otro argumento que utilizó la operadora, hoy bajo el control del fondo británico Zegona, es el de la desproporción. Los magistrados recuerdan, precisamente, que no se ha infringido ese principio de responsabilidad proactiva y que el reglamento no determina un importe mínimo y sólo uno máximo para las infracciones de este tipo: 20 millones de euros o una cuantía equivalente al 4% como máximo del volumen de negocio total anual del ejercicio anterior. En función a la naturaleza del caso de Vodafone, el número de afectados, el nivel de daños, la intencionalidad o negligencia, las infracciones cometidas por la misma teleco además de la categoría de los datos personales afectados, la Sala cree que resulta adecuado reducir la cuantía a 1,9 millones de euros.