Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 794/2022 de 24 de mayo del 2024

PRIMERO.- Se impugna en el presente recurso contencioso-administrativo la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 21 de enero de 2022 (PS/00046/2021), que confirma en reposición la Resolución de 11 de noviembre de 2021, en virtud de la cual se impone a ORANGE ESPAÑA VIRTUAL S.L., una sanción de 70.000 € de multa, por una infracción del artículo 5.1.f) del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ( Reglamento General de Protección de Datos, en lo sucesivo RGPD) , tipificada en el artículo 83.5.a) de dicho Reglamento y calificada como muy grave a efectos de prescripción en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

El artículo 5.1.f) del RGPD que la AEPD considera vulnerado, establece, en su apartado 1, que los datos personales serán (...) "f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas ("integridad y confidencialidad")".

Y el apartado 2 del citado art. 5.1.f), dispone: " El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo ("responsabilidad proactiva")".

Por otra parte, el art. 83.5.a) del RGPD, establece: "Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9;" .

Considera la AEPD que SIMYO, que es forma parte del Grupo Orange (Orange, Jazztel, Republica Móvil y Simyo), ha vulnerado el art. 5.1.f) RGPD al haber infringido la obligación de asegurar la confidencialidad de los datos por no tener implementadas medidas de seguridad adecuadas para evitar suministrar duplicados de tarjetas SIM a terceras personas que no son las legítimas titulares de las líneas móviles, lo que supone para los afectados la pérdida de control de sus datos personales.

Hechos sancionados que, conforme señala la resolución impugnada, hacen referencia al supuesto conocido como "SIM Swapping ", técnica delincuencial consistente en obtener un duplicado de la tarjeta SIM asociada a una línea de telefonía titularidad de un usuario, con la finalidad de suplantar su identidad para obtener acceso a sus redes sociales, aplicaciones de mensajería instantánea, aplicaciones bancarias o comercio electrónico, con la finalidad de interactuar y realizar operaciones en su nombre, autenticándose mediante un usuario y contraseña previamente arrebatados a ese usuario, así como con la autentificación de doble factor al recibir el SMS de confirmación en su propio terminal móvil donde tendrán insertada la tarjeta SIM duplicada.

SEGUNDO.- La resolución sancionadora de 10 de noviembre 2021, confirmada en reposición por la aquí recurrida, efectúa un pormenorizado y extenso relato de Hechos Probados - páginas 880 a 901 del expediente administrativo (67 a 88 de la resolución sancionadora)-, que se aceptan y dan aquí por reproducidos.

TERCERO.- La demandante sustenta su pretensión impugnatoria en una serie de alegaciones, que en esencia, pueden sintetizarse en las siguientes:

-En los casos de SIM Swapping analizados, los suplantadores de identidad habían conseguido con anterioridad a la solicitud del duplicado de la tarjeta SIM, los datos personales de las víctimas que les permitieron presentarse ante SIMYO como si fuesen los clientes a los que suplantan y por ello ha de valorarse si durante el proceso de solicitud del duplicado se ha visto afectada la seguridad de los datos de los interesados de los que SIMYO es responsable. Sin embargo, no ha quedado probado que se haya puesto a disposición de los delincuentes información personal de las víctimas distinta de la que ya tenían con anterioridad, pues no puede suponer tal condición un código IMSI que contiene la tarjeta SIM, cuya capacidad para ser relacionado con el titular de la línea reside exclusivamente en la operadora de telefonía que tenga contratada (SIMYO en este caso). Por lo que no se ha acreditado hechos que puedan ser constitutivos de una vulneración del principio de integridad y confidencialidad de los dos datos personales custodiados por SIMYO, recogido en el artículo 5.1.f) del RGPD.

-La AEPD no ha tenido interés en valorar la responsabilidad de las entidades bancarias y trata de trasladar la responsabilidad a las operadoras de telefonía por las trasferencias bancarias realizadas, sin que SIMYO pueda hacerse cargo de la seguridad de la operativa de terceras entidades por el mero hecho de que usen servicios de telecomunicaciones.

-Inadmisibilidad de la responsabilidad objetiva. La AEPD, sin entrar a valorar la diligencia de SIMYO, limitó su argumentación al resultado, considerando que la superación de las medidas de seguridad, por un tercero, conllevan la consideración de las mismas como insuficientes, surgiendo automáticamente la responsabilidad directa por parte de SIMYO, cuando en materia sancionadora rige el principio de culpabilidad y es necesario examinar si se había desplegado un nivel de diligencia suficiente y adecuado, como así ha hecho la propia Agencia en otros casos en los que ha acordado el archivo de las actuaciones.

-En cuanto a la diligencia de SIMYO y la adecuación de las medidas implementadas, cita la STS de 15 de febrero 2022 y resalta que en la propuesta de resolución se determina que "de los hechos objeto de análisis no puede colegirse una infracción del artículo 32, ni tampoco del 5.2 Y 25 del RGPD, " de lo que infiere la actora que SIMYO ha actuado con la diligencia debida y exigible. Alude a las medidas implementadas y señala que la Resolución de 21 de enero 2022 impugnada, considera que SIMYO ha acreditado " la implementación de un modelo más eficaz para evitación del riesgo de suplantación de identidad, la revisión, refuerzo y mejora de las medidas de seguridad aplicadas en los distintos canales tendentes a asegurar el procedimiento de identificación y entrega de la tarjeta SIM, con el fin de evitar la materialización de los fraudes. También la reacción inmediata frente a los hechos descritos y la capacidad para demostrar su cumplimiento".

-Indefensión y falta de seguridad jurídica. Indica que la inconsistencia de los motivos constitutivos de infracción esgrimidos en la resolución del procedimiento sancionador, suponiendo en todo caso una fundamentación jurídica insuficiente, deriva en indefensión para SIMYO.

-Falta de proporcionalidad de la sanción impuesta y sustitución de la sanción económica por la adopción de las medidas correctivas contempladas en el artículo 58 del RGPD, consistentes en la advertencia o apercibimiento al responsable del tratamiento y la imposición de medidas para realizar los tratamientos " de una determinada manera y dentro de un plazo específico".

CUARTO.- A la vista de las alegaciones efectuadas, la actora trata de excusar su responsabilidad en que los delincuentes ya disponían de los datos personales de los afectados y durante el proceso de solicitud del duplicado no se ha probado que SIMYO haya puesto a disposición de los delincuentes información personal de las víctimas distintas de las que ya tenían con anterioridad.

Ahora bien, como hemos señalado en la SAN de 9 de febrero 2023 (Rec. 770/2022), recaída sobre un asunto similar de "SIM Swapping ", en relación con otra empresa de telefonía (XFERA Móviles S.A.), la tarjeta SIM es una tarjeta inteligente que se inserta dentro del terminal móvil, que contiene un chip en que se almacena la clave del servicio de suscriptor o abonado usado para identificarse ante la red y añadíamos, que el IMSI es el código de identificación en la red de comunicaciones móviles celulares y es fundamental para identificar al abonado, y como está almacenado en la tarjeta SIM, quien tenga dicha tarjeta (el suplantador) tiene el IMSI almacenado. Además, en cuanto el suplantador introduzca la SIM en un terminal y lo encienda, el IMSI va a ser accedido e intercambiado con la red.

Así las cosas, en la medida que e IMSI instalado en la tarjeta SIM permite singularizar a un individuo y por tanto identificarle, ha de ser considerado como dato personal, según el artículo 4 del RGPD, que conceptúa como tal " toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".

Es decir, la expedición inadecuada de la tarjeta SIM del teléfono móvil de una persona a un tercero que suplanta su identidad permite a dicho tercero acceder a la información confidencial almacenada en dicha tarjeta y a la línea del legítimo titular de la tarjeta SIM, existiendo una clara pérdida de confidencialidad pues los datos son transmitidos a un tercero ilegítimamente.

Téngase en cuenta que en España desde 2007, en virtud de la Disposición Única de la Ley 25/2007, de 18 de octubre, se exige que los titulares de todas las tarjetas SIM estén debidamente identificados y registrados. Esto es importante por cuanto la identificación del abonado será imprescindible para dar de alta la tarjeta SIM, lo que conllevará que a la hora de obtener un duplicado de ésta la persona que lo solicite haya de identificarse y que su identidad coincida con la del titular.

En suma, tanto los datos personales (nombre, apellidos y DNI) que se tratan para emitir un duplicado de la tarjeta SIM, como la propia tarjeta SIM que identifica de forma inequívoca al abonado en la red, son datos de carácter personal y su tratamiento, así como la seguridad y confidencialidad de dichos datos vinculados a la emisión/activación de un duplicado de la tarjeta SIM, están sujetos a la normativa de protección de datos.

Asimismo, en la posterior SAN de 8 de febrero 2024 (Rec. 2250/2021) dictada por hechos similares en relación con otra operadora de telefonía, también hemos dicho que la emisión de un duplicado de tarjeta SIM supone el tratamiento de los datos personales de su titular. Criterio que hemos reiterado en la reciente SAN de 13 de mayo 2024 (Rec. 2336/2021).

Por tanto, lo que aquí se discute es si SIMYO, como responsable del tratamiento, condición que ostenta, y no se cuestiona, según la definición que dicho concepto efectúa el artículo 4.7) RGPD y como tal responsable del cumplimiento de lo dispuesto en el apartado 1 del artículo 5.1.f) del RGPD, había implementado las medidas técnicas, organizativas y de seguridad adecuadas, para, en este caso, evitar suministrar un duplicado de una tarjeta SIM a quien no era su legítimo titular, cuestión que analizaremos en el Fundamento de Derecho siguiente.

De otro lado, cabe resaltar que la AEPD no ha extendido la responsabilidad de la demandante más allá de sus obligaciones como responsable del tratamiento y así lo ha puesto de manifiesto reiteradamente en la resolución sancionadora, no examinando las actuaciones de terceros intervinientes, como serían los suplantadores -página 84 de la resolución sancionadora- o las entidades bancarias -página 93 de la misma resolución-.

QUINTO.- So bre la inadmisibilidad de la responsabilidad objetiva. El principio de culpabilidad derivado del artículo 25CE, según señaló la STC 246/1991, de 19 de diciembre, constituye un principio estructural básico del Derecho administrativo sancionador, y aparece reconocido en el artículo 28 .1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público al disponer que: " Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas o jurídicas (...) que resulten responsables de los mismos a título de dolo o culpa".

Por eso, como señala la STS de 18 marzo 2005, Rec. 7707/2000 , es evidente, " que no podría estimarse cometida una infracción administrativa, si no concurriera el elemento subjetivo de la culpabilidad o lo que es igual, si la conducta típicamente constitutiva de infracción administrativa no fuera imputable a dolo o a culpa".

No obstante, el modo de atribución de responsabilidad a las personas jurídicas no se corresponde con las formas de culpabilidad dolosas o imprudentes que son imputables a la conducta humana. De modo que, en el caso de infracciones cometidas por personas jurídicas, aunque haya de concurrir el elemento de la culpabilidad, éste se aplica necesariamente de forma distinta a como se hace respecto de las personas físicas. Según la STC 246/1991 " ( ...) esta construcción distinta de la imputabilidad de la autoría de la infracción a la persona jurídica nace de la propia naturaleza de ficción jurídica a la que responden estos sujetos. Falta en ellos el elemento volitivo en sentido estricto, pero no la capacidad de infringir las normas a las que están sometidos. Capacidad de infracción y, por ende, reprochabilidad directa que deriva del bien jurídico protegido por la norma que se infringe y la necesidad de que dicha protección sea realmente eficaz y por el riesgo que, en consecuencia, debe asumir la persona jurídica que está sujeta al cumplimiento de dicha norma "(en este sentido STS de 24 de noviembre de 2011 (Rec. 258/2009).

Resulta claro que el riesgo de suplantación de identidad está presente de manera permanente en la actividad empresarial de la actora. Es un riego real con la finalidad última de hacerse pasar por otra persona y que procura, en supuestos como el examinado, la obtención de un duplicado de la tarjeta SIM por quien no es el auténtico titular de la misma.

Precisamente por eso, como dijimos en las SSAN de 21 de noviembre de 2014 (Rec. 45/2014) y de 3 de octubre de 2013 (Rec.54/2012) "es necesario asegurarse que la persona que contrata es quien realmente dice ser y deben adoptarse las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento, y a ello obedece la exigencia de documentación identificativa que la propia operadora plasma en el contrato suscrito con la distribuidora".

Se aduce que se ha aplicado un criterio de responsabilidad objetiva al considerar responsable a SIMYO no por carecer de medidas de seguridad adecuadas al riesgo sino por el resultado producido, sin entrar a valorar si fue por una falta de diligencia de la operadora.

Sin embargo, la resolución recurrida no considera responsable a SIMYO por el resultado, sino por una pérdida de confidencialidad vinculada a la insuficiencia de las medidas de seguridad implantadas y, en definitiva, a una falta de diligencia de dicha entidad.

En este sentido, indica dicha resolución en su página 106, que " la Agencia no pretende exigir en ningún momento un riesgo cero. Pero el mismo RGPD indica que las medidas deben ser adecuadas, de acuerdo con el riesgo previsible (...).

Se considera que está más que demostrado que la práctica de este tipo de fraudes, como el aquí analizado, es una práctica frecuente y que, por tanto, las operadoras deben contar con medidas apropiadas que garanticen que no se facilite indebidamente una tarjeta SIM a quien no sea el legítimo titular. De ahí que, del análisis de la documentación, se concluya que las medidas adoptadas no han sido las adecuadas a tal fin".

Y previamente, en el Fundamento de Dº tercero, señalaba dicha resolución sancionadora, que había quedado acreditado que las medidas implantadas por SIMYO eran insuficientes, argumentando al respecto en la página 91 (904 del expediente), lo siguiente " De una manera no exhaustiva y a título de ejemplo, nos fijaremos en que, la política de seguridad que SIMYO aplicaba, permitía la adquisición de tarjetas SIM en Puntos de Venta; cambios de información sensibles (la modificación de la dirección de email) sin seguridad que SIMYO aplicaba, permitía la adquisición de tarjetas SIM en Puntos de Venta; cambios de información sensibles (la modificación de la dirección de email) sin garantías adicionales que asegurasen la autentificación de la identidad del solicitante; o la solicitud de envío de usuario y contraseña a la nueva dirección de correo electrónico para acceder al Área personal del cliente/afectado y activar el duplicado de garantías adicionales que asegurasen la autentificación de la identidad del solicitante; o la solicitud de envío de usuario y contraseña a la nueva dirección de correo electrónico para acceder al Área personal del cliente/afectado y activar el duplicado de la tarjeta SIM.

También se han detectado casos en los cuales se han producido activaciones telefónicas de tarjetas SIM cuyos números de identificación ICC no estaban registrados o asignados. En este sentido, el procedimiento de duplicado de SIM debería incluir la asignación de la SIM al cliente o línea cuando ésta es enviada o entregada, de tal forma que durante la activación solo se pueda activar una SIM cuando realmente haya sido entregada al cliente en cuestión".

Asimismo, pone de relieve las incongruencias detectadas entre la política de seguridad y las instrucciones documentadas, subrayando que para mejorar el cumplimiento de las políticas de seguridad las instrucciones deben ser claras y actualizadas.

Es decir, la actora como responsable del tratamiento de datos, no había garantizado una seguridad adecuada en el tratamiento de los datos personales y por ello, un tercero consiguió acceder a los datos personales de los titulares de las líneas con vulneración del principio de confidencialidad de los datos. Falta de diligencia se comprueba con los hechos declarados probados en relación con las dos reclamaciones recogidas en los Hechos Probados de la resolución sancionadora.

Además, como señala la STS de 15 de febrero 2022 (Rec. 7359/2020), citada en la demanda " No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de manera que también responderá por la falta de diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso".

Asimismo, prueba de que las medidas de seguridad no eran las adecuadas es que se produjo un cambio en dichas medidas. Así, se resalta en la resolución recurrida, que " reconocemos que SIMYO ha actuado posteriormente de forma diligente a la hora de minimizar el impacto a los posibles afectados implantando nuevas medidas de seguridad para evitar la repetición de supuestos similares en un futuro".

Por tanto, la resolución recurrida no reconoce que las medidas adoptadas cuando se produjeron los hechos fueran suficientes, sino que se refiere a las medidas de seguridad implementadas con posterioridad, que no afectan a la comisión de la infracción, sin perjuicio de que hayan sido tomada en consideración como atenuante del artículo 83.2.c) del RGPD a la hora de fijar la sanción, por lo que concurre el elemento subjetivo de la culpabilidad necesario para poder sancionar.

Se esgrime en la demanda que la propuesta de resolución determina que " de los hechos objeto de análisis no puede colegirse una infracción del artículo 32, ni tampoco del 5.2 y 25 del RGPD", lo que significa que SIMYO ha actuado con la diligencia debida y exigible.

La resolución impugnada no aprecia vulneración de los artículos 5.2, ni 32 del RGPD, sino vulneración del artículo 5.1.f) del RGPD, siguiendo la línea de las resoluciones sancionadoras que impugnadas en esta vía jurisdiccional dieron lugar a las citadas SSAN de 9 de febrero 2023 (Rec. 770/2022) y 8 de febrero 2024 (Rec. 2250/2021). Y en dichas sentencias, ya dijimos que el art. 32 RGPD "seguridad del tratamiento", aunque relacionado con el art. 5.1.f), no circunscribe el principio en su totalidad, pues el art. 5.1.f) del RGPD requiere para su aplicación una pérdida de confidencialidad. Pérdida de confidencialidad de los datos al haber sido transmitidos a un tercero sin legitimación, que según razona la resolución sancionadora, va acompañada de medidas de seguridad insuficientes.

Por ello, la parte actora como responsable de garantizar la seguridad y confidencialidad de los datos personales tratados, y teniendo en el momento que acontecieron los hechos denunciados unas medidas de seguridad insuficientes y a la vista de la falta de diligencia apreciada, puede ser considerada sujeto de la infracción apreciada.

Circunstancias concurrentes en el presente caso, que difieren de aquellos otros supuestos citados en la demanda en que la AEPD ha archivado denuncias en casos de suplantación de personalidad con acceso a datos de tercero no autorizado, precisamente por haberse desplegado una diligencia suficiente y adecuada, que aquí no se aprecia.

SEXTO.- So bre la invocada indefensión y falta de seguridad jurídica. Achaca la actora una motivación jurídica insuficiente a la resolución del procedimiento sancionador generadora de indefensión, alegación que debe ser desestimada por cuanto la resolución sancionadora expresa con detalle las razones por las que los hechos probados se encuadran en la vulneración del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del mismo RGPD, la falta de diligencia, etc, habiendo podido alegar y probar la parte cuanto ha estimado conveniente en defensa de sus derechos e intereses legítimos, por lo que en ningún caso se ha generado indefensión material a la recurrente. Cosa distinta es que la parte discrepe legítimamente de la motivación ofrecida y no la comparta.

Por otra parte, la resolución impugnada se basa en los dos casos que describe pormenorizadamente en los hechos probados, acontecidos el 14 de agosto de 2019 y 23 de agosto de 2019, sin que, frente a lo alegado en la demanda, haya tratado de introducir esos 61 casos informados por SIMYO sobre realización de duplicados de tarjeta SIM de forma fraudulenta durante 2019 en relación con el grupo Orange.

En consecuencia, no cabe apreciar vulneración del derecho a un procedimiento sancionador con todas las garantís que rige en este ámbito administrativo sancionador ( SSTS de 21 de febrero de 2006, Rec. 3754/2003, de 20 de enero de 2007, Rec. 6991/2003 y de 1 de abril de 2008, Rec. 3324/2005), ni de causación de indefensión, ni de vulneración del principio de seguridad jurídica.

SÉPTIMO.- Re specto la falta de proporcionalidad en la sanción impuesta. El principio de proporcionalidad de las sanciones, como señalan las SSTS, Sala 3ª, de 3 de diciembre de 2008 (Rec. 6602/2004) y 12 de abril de 2012 (Rec. 5149/2009 ) es el fundamental que late y preside el proceso de graduación de las sanciones e implica, en términos legales, " su adecuación a la gravedad del hecho constitutivo de la infracción" como dispone el artículo 29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público. dado que toda sanción debe determinarse en congruencia con la entidad de la infracción cometida y según un criterio de proporcionalidad en relación con las circunstancias del hecho. Principio que como señala la citada STS de 12 de abril de 2012 no puede sustraerse al control jurisdiccional.

La actora cuestiona las agravantes recogidas en la resolución sancionadora. La primera agravante apreciada es la del art. 83.2.a) del RGPD, que establece: "La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido".

Respecto a la naturaleza y gravedad de la infracción se alega que la pérdida de control y disposición de los datos personales no se inicia cuando SIMYO realiza duplicados de la tarjeta SIM, sino que tiene lugar antes, en el momento en que los individuos consiguen acceder a datos personales de los reclamantes, que posteriormente utilizan ante SIMYO para suplantar su identidad, dice que no se valora la naturaleza y gravedad de la infracción, sino que se vuelve a analizar, una vez más, la obtención del resultado.

Es decir, reitera un alegato formulado con anterioridad que ya ha sido rechazado. Efectivamente, como hemos dicho y reiterado en la SAN 9 de febrero 2023 (Rec. 770/22), la emisión y entrega de un duplicado de una tarjeta SIM a un tercero no autorizado supone para los afectados la pérdida de control de sus datos, con el grave riesgo que ello conlleva, especialmente cuando tras la entrada en vigor de la Directiva PSD2, como subraya la resolución sancionadora, el teléfono móvil -en el que se inserta la tarjeta SIM- ha pasado a desempeñar un papel muy importante en la realización de pagos online al ser necesario para la confirmación de transacciones. Es decir, el duplicado de la tarjeta SIM es un elemento empleado para la realización de transacciones fraudulentas.

Y en relación con los daños ocasionados, en la resolución sancionadora no se le atribuye a la parte actora responsabilidad por el fraude bancario. Y, así se dice en dicha resolución que "si SIMYO asegurase el procedimiento de identificación y entrega del duplicado de tarjeta SIM, ni siquiera podría activarse el sistema de verificación de las entidades bancarias. La persona estafadora tras conseguir la activación de la nueva SIM, toma el control de la línea telefónica, pudiendo así, a continuación, realizar operaciones bancarias fraudulentas accediendo a los SMS que las entidades bancarias envían a sus clientes". A lo que hay que añadir que los daños y perjuicios abarcan no solo los económicos sino también los inmateriales como resulta del Considerando 75 del RGPD.

Por tanto, deben rechazarse los alegatos efectuados y considerar correctamente apreciada la citada agravante.

Otra agravante que se ha tenido en cuenta por la resolución sancionadora es la intencionalidad o negligencia en la infracción del art. 83.2 b) del RGPD. Según la actora la AEPD exige a SIMYO una obligación de resultado absoluta y que el nivel de diligencia no se está evaluando en atención a las medidas y procedimientos establecidos sino únicamente en función al resultado obtenido. A mayor abundamiento, alega, se reconoce que SIMYO ha actuado diligentemente a la hora de minimizar el impacto a los posibles afectados implementando nuevas medidas de seguridad para evitar la repetición de incidentes similares en el futuro , por lo que no se puede considerar a dicha parte como negligente en tanto se han establecido procedimientos adecuados, que han sido reforzados y revisados progresivamente.

Viene así a incidir en argumentos expuestos con anterioridad que han sido desestimados al haber resultado acreditada la actuación negligente de la sociedad recurrente al no establecer las medidas necesarias para evitar que se produjese una suplantación de identidad. Y además se debe señalar, como se dice en la resolución recurrida: "Una gran empresa que realiza tratamientos de datos personales de sus clientes a gran escala, de manera sistemática y continua, debe extremar el cuidado en el cumplimiento de sus obligaciones en materia de protección de datos...".

En consecuencia, procede rechazar la impugnación efectuada.

Se cuestiona también la agravante del art. 83.2 d) del RGPD: "el grado de responsabilidad del responsable o del encargado del tratamiento, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos 25 y 32;". Aduce SIMIYO que en los dos casos que nos ocupan, los agentes incumplieron las medidas de seguridad de SIMYO y las medidas concretas que ésta imponía. Además, la actora cuenta con medidas técnicas, preventivas y organizativas por las que se sancionan a aquellos que no cumplan con las obligaciones impuestas.

Alegato que debe decaer desde el momento en que dichos agentes han actuado frente a los interesados bajo el nombre de la parte actora utilizando la estructura y los sistemas de ésta para realizar las operaciones con los clientes no para sus propias finalidades sino para los fines de la entidad, que es la responsable del tratamiento.

Discrepa la recurrente de la agravante del art. 83.2 g) del RGPD: "las categorías de los datos de carácter personal afectados por la infracción;". Aduce al respecto que solo ha podido determinarse el tratamiento de datos personales identificativos básicos cuyo conocimiento por los delincuentes era previo a la duplicación de la tarjeta.

La resolución sancionadora señala, que "no se trata del dato personal que se requiere para la expedición del duplicado de la tarjeta, sino de la tarjeta misma como dato personal asociada a una línea de telefonía titular de un usuario, que se obtiene con la finalidad de suplantar su personalidad para obtener acceso - entre otros-a las aplicaciones bancarias o comercio electrónico con la finalidad de interactuar y realizar operaciones en su nombre (...)".

Argumentación que desvirtúa lo alegado por la actora y pone de relieve que se trata de un dato personal cuyo acceso no autorizado es particularmente grave. Ello, sin perjuicio, de que para la expedición del duplicado de la citada tarjeta se han tratado datos de carácter personal tales como el nombre y apellidos y DNI del titular.

Finalmente, se impugna la agravante del artículo 76.2.b) de la LOPDGDD " La vinculación de la actividad de la infracción con la realización del tratamiento de datos personales". Argumenta al respecto la actora que no puede considerarse la actividad desempeñada por SIMYO de manera genérica como agravante y que dicha agravante debe ser puesta en contexto con el despliegue de medidas efectuado por la recurrente.

Sobre dicha agravante razona la AEPD que el desarrollo de la actividad empresarial que desempeña SIMYO requiere un tratamiento continuo y a gran escala de los datos personales de los clientes según el número de líneas de telefonía móvil de voz informadas en el "Antecedente DÉCIMO NOVENO", que posiciona a SIMYO como una de las tres operadoras de telecomunicaciones más grandes de nuestro país.

No se trata de que ante cualquier infracción que cometa la mercantil se

vaya a aplicar este factor agravante, sino de que, en las circunstancias individuales del caso proceda la aplicación".

Es decir, los alegatos de la actora no han desvirtuado lo argumentado al respecto por la resolución sancionadora, procediendo la apreciación de la citada agravante.

OCTAVO.- Aduce también la actora, que en aras a poner de manifiesto la falta de proporcionalidad de la sanción impuesta, a XFERA MÓVILES S.A, en un caso similar se le ha impuesto 200.000 € de multa, pese a que el número de clientes de telefonía móvil total de dicha operadora es de 4.739.191 clientes postpago y 1.758.708 clientes prepago, y SIMYO cuenta con un número de clientes totales que asciende a 900.000 y un volumen de ventas muy reducido en comparación con XFERA y se le impone una sanción de 70.000 €.

Sin embargo, la imposición de una multa administrativa en cuantía de 70.000 € a SIMYO frente a los 200.000 € impuestos a XFERA MÓVILES, pone de relieve precisamente la proporcionalidad de las sanciones en uno y otro caso, habiéndose tomado también en consideración a la hora de fijar la sanción la gestión de duplicados de tarjetas SIM que tienen establecidas las empresas con sus medidas de seguridad específicas de seguridad en cada caso.

Finalmente esgrime SIMYO que " teniendo en cuenta las circunstancias concurrentes y la nula intencionalidad o culpa de SIMYO en el caso de que se considere que existe algún tipo de infracción del RGPD debería ser sustituida por la adopción de las medidas correctivas contempladas en el referido artículo 58 del RGPD, consistentes en la advertencia o apercibimiento al responsable del tratamiento y la obligación de adopción de medidas para realizar los tratamientos "de una determinada manera y dentro de un plazo especificado".

Alegato que se sustenta en un presupuesto cual es la ausencia de culpabilidad (inexistencia de intencionalidad o culpa) que no se corresponde con lo que hemos expuesto respecto a la concurrencia del elemento subjetivo de la culpabilidad, pues si bien no hubo intencionalidad, se considera que la actuación de SIMYO fue negligente. Por tanto, al apoyarse dicha alegación fundamentalmente en dicho presupuesto, no puede prosperar.

A mayor abundamiento, dicha solicitud, que ya fue formulada en vía administrativa, es tratada con detalle en la resolución sancionadora en sus páginas 143 in fine y 144 (folios 1180 y 1181 del expediente) a las que nos remitimos, sin que las alegaciones de la actora tengan entidad para desvirtuar las consideraciones efectuadas en dicha resolución para desestimarla.

Así las cosas, atendidas las circunstancias concurrentes en el presente caso, estima la Sala que la resolución sancionadora no ha infringido el principio de proporcionalidad en la determinación de la sanción impuesta, que resulta ponderada y proporcionada a la gravedad de la infracción cometida y la entidad de los hechos, sin que se aprecien razones que justifiquen su minoración.

Téngase en cuenta que según el art 83.5 del RGPD " las infracciones de las disposiciones siguientes se sancionarán con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, a tenor de los artículos 5, 6, 7 y 9".

En consecuencia, procede desestimar el motivo y, en definitiva, el presente recurso contencioso-administrativo.

NOVENO.- De conformidad con lo dispuesto en el artículo 139.1 de la Ley de la Jurisdicción, procede imponer las costas a la demandante.

Vistos los artículos citados y demás de pertinente y general aplicación