La negligencia de un empleado ha motivado una sanción de 70.000 contra Vodafone

El pasado año 2022 una clienta de Vodafone interpuso una reclamación ante esta entidad tras ser víctima de un fraude. En concreto, el delincuente solicitó un duplicado de la tarjeta SIM de la reclamante y redirigió las llamadas entrantes, pudiendo acceder así a la información bancaria de la víctima y realizar una transferencia bancaria fraudulenta.

La reclamante, que recibió varios SMS de su banco informando de movimientos en su cuenta bancaria, pudo comprobar en la aplicación online de su banco que se había bloqueado su cuenta. Tras realizar las gestiones oportunas con Vodafone, esta compañía confirmó que había facilitado a un desconocido varón un duplicado de su tarjeta SIM, así como la desviación de la línea a otro teléfono. Al parecer, este varón se hizo pasar por una persona de confianza de la reclamante y únicamente se identificó con su nombre de pila, dando a continuación los datos de esta.

Vodafone alegó que la incidencia tuvo lugar porque el agente que llevó a cabo la contratación no siguió el procedimiento previsto en la política de seguridad para identificar debidamente al solicitante del trámite y asegurarse de que se trataba de la titular de la línea telefónica.

Manifiesta además que el agente, en contra del procedimiento previsto, no comprobó adecuadamente que el teléfono llamante no se correspondía con una línea telefónica a nombre de la reclamante ni verificó posteriormente la adecuación del trámite contactando a la numeración de la reclamante. En consecuencia, se incumplió la Política de Seguridad implementada por Vodafone y se actuó en contra de las directrices facilitadas por la entidad a sus agentes para la contratación de servicios mediante llamada telefónica.

Así, se puede determinar que el agente no cumplió el procedimiento implantado por Vodafone, que afirma que, de haberse cumplido, se hubiese denegado la solicitud del delincuente. Esta negligencia causó un tratamiento ilícito de los datos personales de la parte reclamante, lo que ha motivado una sanción contra Vodafone de 70.000 euros, que finalmente fue reducida a 56.000 euros por pago voluntario.

Esta resolución pone de manifiesto la necesidad de que las empresas se doten de protocolos para garantizar la licitud de los tratamientos de datos personales, así como de medidas técnicas y organizativas que garanticen el cumplimiento de estos protocolos.

Además, estas medidas deben de ir acompañadas de un protocolo para la formación y concienciación de los empleados en materia de seguridad y protección de datos, con la finalidad de que conozcan las medidas de seguridad a aplicar en su puesto de trabajo y crear así una cultura de protección de datos dentro de la organización.

Desde Microlab, llevamos más de quince años asesorando a empresas en materia de seguridad y protección de datos, por lo que contamos con la experiencia y conocimientos suficientes para convertir la seguridad en un activo más de nuestros clientes.

Si tu organización está obligada a designar un delegado de protección de datos o decide designarlo de forma voluntaria, puedes contactar con nosotros para recibir información acerca de nuestros servicios.