Por la denuncia de FACUA-Consumidores en Acción, la Agencia Española de Protección de Datos (AEPD) ha impuesto al Grupo MásMóvil una multa de 200.000 euros por un grave agujero de seguridad en su protocolo de portabilidades que hasta finales de 2022 permitía suplantaciones de identidad para el robo de líneas telefónicas.
FACUA denunció al Grupo MásMóvil ante Protección de Datos en 2022 debido a que las líneas contratadas con cualquier operador podían migrarse fraudulentamente a sus compañías con solo conocer el nombre y DNI de su titular.
La multa se ha impuesto por una infracción del artículo 6.1 del Reglamento General de Protección de Datos, al haberse producido el tratamiento de los datos de forma ilícita por no haber dado su consentimiento el afectado. Estas infracciones están tipificadas en el artículo 83.5.a) del reglamento. El grupo de telecomunicaciones (Xfera Móviles SAU) es propietario de más de una docena de marcas: Yoigo, MásMóvil, Pepephone, LlamaYa, Lebara, Embou, HitsMobile, Lycamobile, Populoos, SIMple, Euskaltel, R, Telecable y Guuk. En 2024 se fusionó con el grupo Orange.
No enviaba un código de verificación
FACUA tuvo conocimiento de esas irregularidades debido a que su secretario general, Rubén Sánchez, fue víctima de una portabilidad fraudulenta en septiembre de 2022. Posteriormente, la asociación comprobó que las compañías del Grupo MásMóvil vulneraban la obligación legal de verificar que las solicitudes de portabilidad se realizaban por los auténticos titulares de las líneas y no por terceros que simulaban serlo. Así, no enviaban ningún código por SMS a la línea para la que se pedía el cambio de operador a fin de que su titular lo facilitase a sus teleoperadores o lo introdujese en las webs de sus compañías.
Pero además, técnicos de la asociación verificaron envíos de tarjetas SIM en los que los mensajeros no comprobaron que la persona a la que se la entregaron fuese la titular del DNI vinculado a la línea que se iba a portar. De hecho, no solo no solicitaron que se les mostrase el documento de forma física, sino que ni tan siquiera pidieron que se les indicase cuál era ese DNI.
Si un usuario de cualquier compañía sufría una suplantación, la portabilidad de su línea a una compañía del Grupo MásMóvil podía acabar realizándose en caso de que no reparase en el SMS donde se comunicaba que esta había sido solicitada o lo viese tarde, cuando hubiese finalizado el plazo en el que no existen impedimentos técnicos para anularla.
La empresa decidió demorar la subsanación del problema
Pese a la gravedad del problema, que FACUA venía reclamando al Grupo MásMóvil que resolviese desde mediados de septiembre de 2022, la compañía decidió demorar el cambio en su protocolo y comunicó a la asociación que no lo haría hasta finales de diciembre de ese año. Ante esto, la asociación decidió alertar públicamente de las irregularidades a finales de noviembre de 2022.
Qué dice la ley
El Real Decreto 899/2009, de 22 de mayo, por el que se aprueba la carta de derechos del usuario de los servicios de comunicaciones electrónicas, establece en el punto 2 de su artículo 5 que «los operadores no podrán acceder a la línea de un usuario final sin su consentimiento expreso e inequívoco».
Por su parte, el Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, señala en el apartado primero de su artículo 62 que «en la contratación con consumidores y usuarios debe constar de forma inequívoca su voluntad de contratar o, en su caso, de poner fin al contrato». Por ello, FACUA también denunció los hechos ante la Dirección General de Consumo del Ministerio de Derechos Sociales, Consumo y Agenda 2030, pero no recibió respuesta.
Asimismo, las portabilidades se rigen por una especificación técnica de la Comisión Nacional de los Mercados y la Competencia (CNMC), en cuyo apartado 4.2 se indica que para llevarlas a cabo, las compañías deben contar una «solicitud firmada por el abonado» o con «otra forma equivalente de acreditación del consentimiento del abonado». Generalmente, el protocolo de validación consiste en el envío de un SMS con un código a la línea que se solicita portar para que sea facilitado al comercial que está gestionando el cambio de compañía o se introduzca en su página web en caso de que el usuario la está pidiendo a través de ella. La asociación presentó una tercera denuncia ante la CNMC, pero tampoco le dio respuesta.
Por su parte, el reglamento general de protección de datos establece en el apartado primero de su artículo 6.a que el tratamiento de datos solo será lícito si, entre otras cosas, «el interesado dio su consentimiento». En este sentido, FACUA señala en su denuncia que el Grupo MásMóvil no solo no cumplía esta obligación en su protocolo de portabilidades sino tampoco la de aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo», que establece el artículo 32.1 del citado reglamento.
Se eliminarán los comentarios que contengan insultos o palabras malsonantes.