Actualitat

Per a més informació, consulta la resolució núm. 002-024_B3 aquí

El context

El 8 d’abril del 2025, l’APDA va desestimar el recurs de reposició presentat per Andorra Telecom, SAU i va mantenir la sanció d’amonestació, d’acord amb els articles 72.1.a, 72.2.e, 72.2.k i 72.2.l de la LQPD, per incompliments relatius a la protecció de dades personals en el marc d’un presumpte frau d’enginyeria social (SIM swapping).

L’actuació d’ofici es va iniciar els dies 8 i 9 de novembre del 2024, arran de diverses informacions als mitjans de comunicació i altres fets indiciaris d’incompliments. Davant d’aquesta situació, i no havent rebut cap notificació de violació de seguretat per part de l’entitat, l’APDA va iniciar una inspecció per analitzar possibles incompliments de la LQPD.

Les investigacions

El servei d’inspecció va enviar un requeriment d’informació a Andorra Telecom, SAU sol·licitant: explicacions sobre com s’aplicaven els principis de protecció de dades; detalls dels protocols de seguretat i identificació; el contingut del formulari de violació de seguretat i les raons per no haver-la notificat a l’APDA i evidències d’haver comunicat l’incident als afectats.

La investigació va revelar que un tercer no autoritzat —el suplantador— trucava a l’operadora per informar que la seva SIM havia deixat de funcionar i sol·licitava l'emissió d'una eSIM virtual. Andorra Telecom, SAU, seguint el protocol intern, procedia a la identificació del sol·licitant mitjançant la verificació de quatre dades personals (nom complet, cognoms, número de telèfon i document identificatiu). En casos d'anomalies o dubtes, es podien requerir dades addicionals com l’adreça, la data de naixement i els últims quatre dígits del compte bancari associat. Un cop completat aquest procés, l'operador enviava l’eSIM a l’adreça electrònica del sol·licitant. La investigació va evidenciar que els suplantadors trucaven per demanar una eSIM, superant el protocol de verificació.

Andorra Telecom, SAU va reconèixer que havia atès 60 trucades de defraudadors, 4 de les quals van suposar un frau, i que es van fer 7 migracions de SIM no sol·licitades pel titular.

Les infraccions

L’APDA va concloure que:

• S’estaven incomplint diversos principis relatius al tractament (exactitud, integritat i confidencialitat i responsabilitat proactiva).
• El protocol de verificació d’identitat era insuficient per garantir la protecció de dades personals.
• No es van aplicar mesures de seguretat adequades des del disseny.
• No es va notificar la violació de seguretat en el termini legal de 72 hores.

Així, les infraccions comeses van ser:

Infracció considerada molt greu :

• Article 72.1.a) El tractament de dades personals que vulneri l’article 5.

Infraccions considerades greus:

• Article 72.2.e) Incomplir els deures de notificació o de comunicació d’una violació de la seguretat de les dades personals (incompliment de l’article 36).
• Article 72.2.k) La falta d’adopció de les mesures tècniques i organitzatives apropiades per garantir que, per defecte, només es tracten les dades personals necessàries per a cadascuna de les finalitats específiques del tractament o que siguin apropiades per garantir un nivell de seguretat adequat al risc del tractament (incompliment de l’article 28).
• Article 72.2.l) L’incompliment, com a conseqüència de la falta de la diligència deguda, de les mesures tècniques i organitzatives que s’hagin implantat (incompliment dels articles 27 i 35).

La sanció

Com a societat pública, Andorra Telecom, SAU està subjecta al règim sancionador específic aplicable a organismes del sector públic establert a la LQPD, que preveu l’amonestació com a única sanció possible.

Així, es va sancionar amb una amonestació i es va ordenar a Andorra Telecom, SAU que revisés el protocol d’identificació de titulars de targeta SIM, i l’enviés a l’APDA en un termini de 15 dies hàbils. D’altra banda, es va recomanar a l’entitat incorporar la simulació en els seus processos de seguretat. 

Per aprofundir

Protegeix-te del SIM Swapping

Normativa de referència

• Article 5. Principis relatius al tractament.
• Article 27. Deures i obligacions del responsable del tractament.
• Article 28. Protecció de dades des del disseny i per defecte.
• Article 35. Seguretat i confidencialitat del tractament.
• Article 36. Notificació d’una violació de la seguretat de les dades personals a l’autoritat de control.