La rechazan como clienta por morosa, denuncia y a la empresa le cae multa de 150.000 euros: "Fuimos víctimas de un fraude"
Lo que empezó como un simple intento de contratar fibra y móvil acabó destapando un caso de suplantación de identidad y una sanción ejemplar.
Una usuaria intentó darse de alta con DIGI y la operadora la rechazó por figurar como deudora desde 2021. Ella aseguraba no haber contratado jamás con la compañía y acudió a la Guardia Civil, que abrió diligencias por usurpación de estado civil.
A raíz de su denuncia, DIGI le remitió el contrato “supuestamente” firmado. Al compararlo, solo coincidían nombre, apellidos y número de DNI; domicilio, fecha de nacimiento y cuenta bancaria eran de otra persona. La afectada elevó también el caso a la Agencia Española de Protección de Datos (AEPD). La primera respuesta del regulador fue archivar, al no ver infracción clara. Pero la usuaria recurrió y, en mayo de 2024, la Agencia ordenó reabrir el expediente.
¿Qué falló?
Tras nuevas pesquisas, la AEPD concluyó que el procedimiento de alta de DIGI en octubre de 2021 no garantizaba una identificación efectiva del contratante. Todo el proceso se hacía en remoto: firma electrónica a través de un proveedor de confianza (Logalty) y verificación vía SMS enviado al número aportado… por quien estaba contratando. Es decir, no se comprobaba si ese teléfono pertenecía realmente a la persona cuyos datos se estaban utilizando.
La tarjeta SIM se envió por mensajería con “entrega exclusiva al destinatario”, solicitando mostrar el DNI. Pero, subraya la AEPD, aquella comprobación fue meramente visual y no dejó rastro verificable: no quedó evidencia objetiva de que el documento correspondiera al verdadero titular. En la práctica, bastaba con conocer nombre, apellidos y número de DNI para pasar el filtro y recibir la SIM en otra dirección.
La defensa de la operadora y la respuesta del regulador
DIGI, tal y como explica el portal Genbeta, alegó que había sido víctima de un fraude cometido por un tercero y que sus controles (firma certificada y entrega con verificación) eran razonables. También sostuvo que no cabe exigir sistemas “infalibles”. La Agencia no compró el argumento: por la naturaleza del negocio y el volumen de datos sensibles, las telecos deben extremar la diligencia y poder demostrar que sus medidas previenen la suplantación. Dicho de otro modo, no basta con enviar un SMS al número que introduce quien contrata ni con afirmar que “se miró el DNI” si no hay prueba de ello.
Aunque DIGI acabó anulando la deuda y suprimiendo los datos del contrato fraudulento tras la denuncia, la AEPD considera que el tratamiento ilícito ya se había producido. Resultado: 150.000 euros de multa por vulnerar el artículo 6.1 del RGPD (falta de base jurídica válida), en aplicación del principio de responsabilidad proactiva (art. 5.2 RGPD): cumplir y poder acreditarlo con políticas, procedimientos y evidencias.
