Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 770/2022 de 09 de febrero del 2023

PR IMERO.- Se impugna en el presente recurso contencioso-administrativo por Xfera Móviles SA, la Resolución de la Directora de la Agencia Española de Protección de Datos de fecha 21 de enero de 2022 que confirma en reposición la Resolución de 10 de noviembre 2021 (PS/2770/2021), en virtud de la cual se impone a Xfera Móviles S.A, una sanción de 200.000 €, por la vulneración de lo dispuesto en el artículo 5.1.f) del Reglamento (UE) 2016/79 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, ( Reglamento General de Protección de Datos, en lo sucesivo RGPD), tipificada en el artículo 83.5.a) de dicho Reglamento y calificada como muy grave a efectos de prescripción en el artículo 72.1.a) de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Co nsidera la AEPD que los hechos controvertidos vulneran el art. 5.1.f) RGPD porque el principio de confidencialidad de los datos se ha visto afectado dado que Xfera facilitó a personas distintas del titular del teléfono móvil duplicados de tarjetas SIM, que constituyen el soporte mediante el cual se accede a datos de carácter personal del afectado. Acceso a datos personales del titular por un tercero que se produjo debido a que Xfera no contaba con medidas suficientes ni adecuadas en los términos del reseñado art. 5.1.f) del RGPD para comprobar que la persona que solicita el duplicado de la tarjeta SIM es el titular de la misma.

SE GUNDO.- La resolución sancionadora de 10 de noviembre 2021, confirmada en reposición por la aquí recurrida, efectúa un pormenorizado y extenso relato de Hechos Probados - páginas 638 a 667 del expediente administrativo-, que se aceptan y dan aquí por reproducidos, en los que se hace referencia a las dos reclamaciones interpuestas con fechas 8 de octubre y 5 de noviembre de 2019 contra Xfera, por expedir sendos duplicados de la tarjeta SIM de sus líneas de telefonía móvil en las compañías Yoigo y Masmóvil, a nombre de terceras personas distintas de los titulares de la línea; a las actuaciones previas iniciadas de oficio tendentes a analizar las practicas conocidas como SIM Swapping y las medidas de seguridad existentes para su prevención en relación con Xfera; a los procedimientos de solicitud de duplicado SIM para las marcas comerciales bajo las que Xfera presta servicios: Yoigo, Masmóvil, Llamaya y Lebara; a los casos de solicitudes fraudulentas detectados en 2019; también a los primeros casos de duplicado de SIM confirmados desde el 1 de enero de 2020; a las grabaciones telefónicas o archivos de audio aportados en los casos de solicitud telefónica del duplicado; las medidas y herramientas informáticas implantadas con posterioridad y su eficacia, etc.

TE RCERO.- Xfera, es un operador de telecomunicaciones que ofrece servicios de telefonía fija, móvil e internet bajo distintas marcas comerciales como Yoigo, Masmóvil, Lebara o Llamaya, que según expone en la demanda es el cuarto operador del mercado español, tanto por ingresos como por usuarios, con una cuota que ronda el 11% del total.

En la demanda efectúa un relato de hechos y sustenta su pretensión impugnatoria en varios motivos: a) caducidad de las actuaciones previas de investigación; b) incongruencia omisiva e inadecuada tipificación; c) ausencia de culpabilidad de Xfera; d) Xfera no vulneró la confidencialidad de los datos personales de sus clientes; e) de la quiebra del principio de confianza legítima y mala fe administrativa; f) de la falta de idoneidad, necesidad y proporcionalidad de la sanción impuesta; g) subsidiariamente, de la incorrecta aplicación de circunstancias agravantes.

Mo tivos que se pasan a examinar siguiendo el orden expuesto.

CU ARTO.- Caducidad de las actuaciones previas.

Ad uce que el art 67.2 de la LOPDGDD establece que las actuaciones previas " no podrán tener una duración superior a 12 meses contados desde la fecha del acuerdo de admisión a trámite, o de la fecha por la que se decida su iniciación cuando la AEPD actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado de la UE"

En el caso de autos, las dos reclamaciones se presentaron el 8 de octubre y 5 de noviembre 2019, y al haber transcurrido el plazo de 3 meses establecido en el artículo 65.5 LOPDGDD, entiende Xfera que deben entenderse admitidas a trámite el 8/1/2020 y el 5/2/20, ello aunque los acuerdos formales de admisión a trámite sean posteriores (11 y 12 de febrero 2020), por lo que, sostiene, cuando se dicta el acuerdo de inicio el 12 de febrero 2020, fecha en que se puso a disposición de la recurrente la notificación en la sede electrónica de la Administración, las actuaciones previas estaban caducadas.

Po r su parte, el Abogado del Estado opone que las actuaciones previas no tienen origen en las reclamaciones presentadas y en su admisión a trámite, sino en la nota interior de la Directora, de 27 de noviembre 2019, que muestra su intención de investigar unos hechos concretos. Y así contados 12 meses desde dicha fecha, en teoría dicho plazo hubiera finalizado el 27 de noviembre de 2020, más a lo anterior habría que sumar los 79 días en que se suspendieron los plazos procedimentales como consecuencia de la Declaración del Estado de Alarma mediante Real Decreto 463/2020, de 14 de marzo, y su prórroga por el RD 537/2020, de 22 de mayo.

De l examen del expediente resulta que, efectivamente, obra a la página 49 una Nota Interior de la Directora de la AEPD, suscrita el 27 de noviembre 2019, quien ante las noticias aparecidas en los medios de comunicación relativas a la utilización de prácticas fraudulentas basadas en la generación de duplicados de tarjetas SIM sin el consentimiento de sus legítimos titulares con objeto de acceder a información confidencial con fines delictivos (conocidas como SIM Swapping), insta a la Subdirección General de Protección de Datos a iniciar de oficio las Actuaciones Previas de Investigación tendentes a analizar estas prácticas y las medidas de seguridad existentes para su prevención.

Y en el marco de esas actuaciones practicadas por la Subdirección General de Protección de Datos, se llevaron a cabo distintas actuaciones.

Se ntado lo anterior, a la hora de efectuar el computo del citado plazo de 12 meses fijado en el artículo 67.2 de la LOPDGDD, hay que tomar en consideración una circunstancia especialmente relevante con incidencia en dicho cómputo, cual es la Declaración del Estado de Alarma mediante Real Decreto 463/2020, de 14 de marzo, y su prórroga por el Real Decreto 537/2020, de 22 de mayo, que se silencia en la demanda.

As í, la Disposición adicional tercera del Real Decreto 463/2020. " Suspensión de plazos administrativos", establece:

"1. Se suspenden términos y se interrumpen los plazos para la tramitación de los procedimientos de las entidades del sector público. El cómputo de los plazos se reanudará en el momento en que pierda vigencia el presente real decreto o, en su caso, las prórrogas del mismo.

2 La suspensión de términos y la interrupción de plazos se aplicará a todo el sector público definido en la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas (...)"

Po r su parte, el artículo 9 del Real Decreto 537/2020, de 22 de mayo, determina al respecto " Con efectos desde el 1 de junio de 2020, el cómputo de los plazos administrativos que hubieran sido suspendidos se reanudará o se reiniciará, si así se hubiera previsto en una norma con rango de ley aprobada durante la vigencia del estado de alarma y sus prórrogas".

A su vez, la disposición derogatoria única, en su apartado 2º expresa " Con efectos desde el 1 de junio de 2020, queda derogada la disposición adicional tercera del Real Decreto 463/2020, de 14 de marzo ".

La STS de 16 de noviembre de 2022 (Rec. 484/2022) al interpretar la Disposición tercera del Real Decreto 463/2020 señala que " Del tenor de la Disposición adicional tercera cabe deducir que la regla general establecida como consecuencia necesaria de la declaración de estado de alarma es la suspensión de los plazos establecidos para la tramitación de los procedimientos de las entidades del sector público (que son aquellas a las que se refiere el artículo 2 de la Ley 40/2015 )".

Y el artículo 2 de la Ley 40/2015, indica que el sector público comprende: d) el sector público institucional, y en el artículo 87.1 del mismo texto legal, se indica que integran el sector público institucional estatal: " b) Las autoridades administrativas independientes", entre las que se incluye la AEPD ex artículo 44 de la LOPDGDD.

Po r tanto, resulta de aplicación la suspensión de plazos establecida por la citada normativa al caso de autos, de tal forma que el plazo de caducidad quedó suspendido a partir del 14 de marzo de 2020 al declararse el estado de alarma, y permaneció así hasta que se alzó la suspensión el 1 de junio de 2020 en que se reanudó su computo, de tal forma que cuando se dictó 12 de febrero 2020 el acuerdo de inicio, la misma fecha en que se puso a disposición de la recurrente en la sede electrónica de la Administración, que debe tomarse como término final del cómputo del plazo a efectos de caducidad (ex artículo 43.3 en relación con el 40.4, ambos de la Ley 39/2015, de 1 de octubre) no se había producido la caducidad, ya que los 12 meses vencían el 13 de febrero 2020.

QU INTO.- Incongruencia omisiva de la AEPD e inadecuada tipificación.

Ad uce Xfera que se ha vulnerado el deber de motivación al no haberse pronunciado la AEPD sobre la inadecuada tipificación de la sanción, pese a las múltiples alegaciones de la recurrente en dicho sentido. Abundando en lo expuesto, señala que cuestionó la calificación de la conducta infractora como contraria al artículo 5.1.f) del RGPD, en lugar de entender vulnerado el artículo 32 RGPD, diferencia de calificación que no resulta baladí, toda vez que la Agencia había considerado en el inicio del procedimiento sancionador que la sanción que podía derivar de una y otra infracción era muy distinta.

Añ ade, que nunca ha puesto en duda que la conducta infractora, de existir, pudiese ser considerada como un incumplimiento del artículo 5.1.f) del RGPD, pero la cuestión planteada por Xfera a lo largo del procedimiento, es que también puede ser subsumida en el artículo 32 del RGPD, que a su juicio es el más preciso y el que mejor se adapta al caso. Sin embargo, la Agencia se posiciona en favor del artículo 5.1.f) del RGPD, pero no motiva porque no se califica por el artículo 32 del RGPD vulnerando, además, el principio de especialidad.

Si n embargo, una lectura de la resolución sancionadora y de la aquí impugnada, permite constatar la existencia de motivación sobre la inclusión de la conducta en el tipo del artículo 5.1.f) del RGPD, en lugar del artículo 32 del mismo Reglamento.

As í señala la resolución sancionadora: "En el presente caso, el principio de confidencialidad del dato se ha visto comprometido, dado que se facilitó el acceso a unos duplicados de tarjetas SIM solicitados de forma fraudulenta. Y este acceso se produjo debido a que Xfera no contaba con medidas suficientemente adecuadas en los términos del reseñado art. 5.1.f) del RGPD a fin de evitar que estos hechos se produjeran. Al respecto se remite a lo expuesto en el FD Tercero de la presente Resolución" (página 675 del expediente).

Má s adelante, en la página 676 se dice: " Los hechos controvertidos se consideran de la suficiente relevancia y gravedad, como para subsumirlos en la vulneración del art. 5.1.f) del RGPD, precisamente, porque no se ha garantizado la seguridad de los datos de los clientes -de forma adecuada- y en consecuencia se ha producido un tratamiento no autorizado e ilícito que afecta a la confidencialidad del dato".

Y al final de esa misma página 676 se indica: " Por todo ello, la alegación que formula XFERA respecto de la inadecuada infracción del principio de especialidad decae, puesto que los Hechos Probados se incardinan perfectamente en el artículo 5.1.f) del RGPD. Este precepto que no es vago o abstracto establece obligaciones claras de cumplimiento -impedir tratamientos no autorizados o ilícitos implementando medidas de seguridad adecuadas-cuya infracción determina una conducta típica por cuya comisión ahora se sanciona a la operadora.

A mayor abundamiento, hemos de significar que (...) La conducta típica se encuentra enmarcada, tal y como se ha motivado, en el artículo 5.1f) del RGPD constituyendo una infracción tipificada en el artículo 83.5.a) del RGPD; consecuencia de lo anterior, se tipifica de manera directa e inmediata como una infracción muy grave a los meros efectos de prescripción en el artículo 72.1.a) de la LOPDGDD. Este es el camino que marca el Reglamento para tipificar las infracciones y no otro".

Ad emás, la resolución aquí recurrida de 21 de enero de 2022, señala - páginas 931 in fine y 932 del expediente- que el principio de confidencialidad de los datos surge del artículo 5.1.f) RGPD cuando afirma que los datos deben ser " tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)".

Se trata, por tanto, del principio relacionado tanto con la confidencialidad de los datos personales tratados como con la seguridad del tratamiento.

Es decir, las operadoras deben estar en disposición de establecer mecanismos que impidan que se produzca la duplicación fraudulenta de las tarjetas SIM, medidas que respeten la confidencialidad de los datos y que impidan que un tercero acceda a datos que no son de su titularidad, pues precisamente compete a la operadora tratar datos de carácter personal conforme al RGPD.

Po r dicha razón, este es un proceso en donde la diligencia prestada por éstas es fundamental para evitar este tipo de estafas y vulneraciones del RGPD".

Y más adelante, añade " En otras palabras, mientras que la infracción de confidencialidad supone que los datos se hayan revelado a un tercero, la infracción de medidas de seguridad únicamente requiere que se declare probada la ausencia de requisitos exigidos" y por esa razón considera que la infracción apreciada es la que se ajusta más a los hechos acontecidos.

Es decir, la AEPD aborda dicha cuestión de forma minuciosa y expresa las razones en que sustenta la aplicación del artículo 5.1.f) del RGPD en lugar del artículo 32 del mismo Reglamento, por lo que no cabe apreciar falta de motivación del acto administrativo, que, además, como señala la STS de 29 de marzo de 2012 (Rec. 2940/2010) no exige ningún razonamiento exhaustivo.

Ad emás, cabe recordar que de forma reiterada el Tribunal Constitucional, por todas STC 104/2022, de 12 de septiembre (FJ 3), señala: «...la incongruencia omisiva o ex silentio, que se produce cuando el órgano judicial deja sin contestar alguna de las pretensiones sometidas a su consideración por las partes, siempre que no quepa interpretar razonablemente el silencio judicial como una desestimación tácita cuya motivación pueda inducirse del conjunto de los razonamientos contenidos en la resolución, y sin que sea necesaria, para la satisfacción del derecho a la tutela judicial efectiva, una contestación explícita y pormenorizada a todas y cada una de las alegaciones que se aducen por las partes como fundamento de su pretensión, pudiendo bastar, en atención a las circunstancias particulares concurrentes, con una respuesta global o genérica, aunque se omita respecto de alegaciones concretas no sustanciales.»

De otro lado, y respecto a la tipificación de los hechos, debemos tomar en consideración que la confidencialidad y la seguridad de los datos tienen su reflejo fundamentalmente en dos preceptos independientes del RGPD: Art. 5.1.f) y 32 del RGPD.

El Art. 5 RGPD, aplicado por la AEPD, referido a los "Principios relativos al tratamiento", dispone, en su apartado 1 que los datos personales serán : "f) tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (integridad y confidencialidad)".

Po r su parte, el artículo 32 del RGPD, "seguridad del tratamiento", cuya aplicación propugna la demandante, establece como ha de articularse la seguridad del tratamiento en relación con las medidas de seguridad concretas que hay que implementar, de tal forma que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluya, entre otras cuestiones, la capacidad de garantizar la confidencialidad de los datos.

Es decir, el artículo 32, como pone de relieve el Abogado del Estado, aunque relacionado con el 5.1.f), no circunscribe el principio en su totalidad, pues el artículo 5.1.f) del RGPD requiere para su aplicación una pérdida de confidencialidad. pérdida de confidencialidad de los datos, que según razona la resolución sancionadora (página 671 del expediente), va acompañada de medidas de seguridad insuficientes.

Al ega la actora que el art 5.1.f) RGPD se limita a enunciar los principios informadores de la protección de datos, mientras que el artículo 32 recoge una infracción concreta de medidas de seguridad. Sin embargo, de la lectura del artículo 5.1.f) RGPD, transcrito más arriba, se desprende que no se limita a enunciar uno de los principios básicos para el tratamiento (de integridad y confidencialidad), ni puede conceptuarse de genérico e impreciso, o de insuficiente determinación de la conducta sancionada, sino que permite predecir con suficiente grado de certeza las conductas que constituyen infracción, por lo que conforme reiterada doctrina del Tribunal Constitucional ( SSTC 25/2002, de 11 de febrero, FJ 4; 100/2003, de 2 de junio, FJ 3, 129/2003, de 30 de junio, FJ 4 ; en el mismo sentido, SSTC 133/1999, de 15 de julio, FJ 2; 276/2000, de 16 de noviembre, FJ 6; 113/2002, de 9 de mayo, FJ 3). no vulnera el principio de tipicidad.

En consecuencia, se considera correctamente apreciada la vulneración del artículo 5.1.f) del RGPD y cabe rechazar la existencia de un error de tipificación.

SE XTO.- Sobre el principio de culpabilidad.

Es grime la actora que los hechos deben ser puestos en un marco temporal concreto: la entrada en aplicación de las obligaciones de autenticación reforzada y acceso a terceros derivada de la Directiva (UE) 2015/2366, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior (Directiva PSD2) que tuvo lugar el 14 de septiembre 2019. Y habida cuenta que Xfera no es un sujeto obligado por dicha Directiva, y desconocía su alcance y la forma en que las entidades bancarias optarían por implementarla, no conocía el riesgo que se cernía sobre el duplicado de las tarjetas SIM y por eso, no pudo implementar medidas para paliarlo. En cuanto tuvo conocimiento de esta problemática y del riesgo que se cernía sobre el tratamiento consistente en el duplicado de la tarjeta SIM actuó con diligencia y adoptó una serie de medidas para reforzar la seguridad, que son consideradas una circunstancia atenuante por la AEPD, lo que se califica en la demanda de insuficiente, pues deberían haber sido consideradas eximentes, e invoca la doctrina del error invencible.

Añ ade que se ha aplicado un criterio de responsabilidad objetiva al considerar responsable a Xfera no por carecer de medidas de seguridad adecuadas al riesgo sino por el resultado producido, sin entrar a valorar si fue por una falta de diligencia de Yoigo, del afectado o por un mero fallo técnico, cita la STS de 15 de febrero de 2022 (Rec. 7359/2020).

Fi nalmente señala en relación con el principio de responsabilidad personal, que se debe tomar en cuenta únicamente los hechos de los que Xfera es responsable y no cabe culparla de las operaciones fraudulentas realizadas por terceros.

El principio de culpabilidad derivado del artículo 25CE, según señaló la STC 246/1991, de 19 de diciembre, constituye un principio estructural básico del Derecho administrativo sancionador, y aparece reconocido en el artículo 28 .1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público al disponer que: " Sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas o jurídicas (...) que resulten responsables de los mismos a título de dolo o culpa".

Po r eso, como señala la STS de 18 marzo 2005, Rec. 7707/2000 , es evidente, " que no podría estimarse cometida una infracción administrativa, si no concurriera el elemento subjetivo de la culpabilidad o lo que es igual, si la conducta típicamente constitutiva de infracción administrativa, no fuera imputable a dolo o a culpa".

Re specto a que no se habían identificado los riesgos que se ceñían sobre el duplicado de las tarjetas SIM con anterioridad a la aplicación de la Directiva PSD2, cabe señalar que ya en la resolución recurrida se indica -página 872- " En el presente procedimiento, no se está analizando el riesgo existente antes de la aplicación de la llamada PSD2 sino el que se produce a partir de su aplicación, que es cuando se empieza a utilizar el fraude mediante la utilización de un duplicado de una tarjeta SIM obtenido indebidamente por persona distinta de su titular (...) en el presente caso las medidas de seguridad implementadas no resultan suficientes para garantizar la confidencialidad del dato personal en cuestión".

Ah ora bien, a mayor abundamiento, resulta claro que el riesgo de suplantación de identidad está presente de manera permanente en la actividad empresarial de Xfera. Es un riego real con la finalidad última de hacerse pasar por otra persona y que procura, en supuestos como el examinado, la contratación de productos o la obtención de un duplicado de la tarjeta SIM por quien no es el auténtico titular de la misma, riesgo que la recurrente no puede alegar que le resultaba desconocido.

So bre la supuesta responsabilidad objetiva, la resolución recurrida no considera responsable a Xfera por el resultado, sino por una pérdida de confidencialidad vinculada a la insuficiencia de las medidas de seguridad implantadas y, en definitiva, debido a una falta de diligencia de dicha entidad.

As í, se argumenta por la AEPD -página 858 del expediente- " ha quedado acreditado que las medidas implantadas por Xfera son insuficientes (...) De una manera no exhaustiva nos fijaremos en la deficiente configuración de las preguntas formuladas en la política de seguridad para poder obtener el duplicado de la tarjeta SIM".

( () En general, los datos personales asociados a la política de seguridad son los básicos de cualquier cliente: nombre y apellidos, DNI y número de línea de teléfono (YOYGO y MASMÓVIL) (...) basta con poseer los datos básicos de un cliente para poder superar la política de seguridad, sin que ninguna pregunta adicional sea formulada respecto de algún dato que conozca únicamente la operadora y su cliente. Ningún requisito suplementario es requerido.

Ll ama la atención que sólo en algunas de las marcas se realizan comprobaciones adicionales más rigurosas, como son datos de uso que solo la persona que utiliza la línea en cuestión podría contestar correctamente. Así, respecto de la marca LEBARA se establece la superación de la política de seguridad en dos capas, figurando en la segunda de ellas la formulación y respuesta correcta de dos o tres preguntas de uso para verificar datos muy concretos que podrían identificar fehacientemente al cliente. Esto muestra que Xfera si tenía establecidas medidas de seguridad muy sencillas más apropiadas para identificar de manera más fidedigna a un cliente y que no implementó en todas sus marcas".

Y en esta línea, retomando el análisis de la política de seguridad utilizada por Xfera para la comprobación de la identidad de quien solicita una tarjeta SIM señala en la página 859 del expediente, que la mera comprobación de la información básica de una persona, como puede ser el nombre, apellidos y DNI resulta inútil para los fines para los que está prevista, pues es de suponer que unos delincuentes que ya han obtenido una serie de datos como los datos de acceso o las credenciales de la banca online de una persona y el número de teléfono asociado a esa cuenta, cuentan seguramente con la información básica de dicha persona.

Se esgrime por Xfera que fue engañada al haberse aportado junto con la solicitud de duplicado de tarjeta SIM correspondiente al reclamante 1, un DNI y una denuncia de hurto falsos, y si bien es cierto que en ese caso se aportó documentación falsificada, omite que en el caso del reclamante 2, el duplicado de la SIM se activó por el canal telefónico y aportada la grabación, se verificó que el operador preguntó el número de línea y el propio operador le dice el nombre y le pregunta si es él, pero ni siquiera le pide el DNI. Esta última forma de actuación se produce también en otros casos de activación de duplicados por canal telefónico que examina la resolución recurrida.

Po r tanto, se ha producido una pérdida de confidencialidad de los datos debido a que las medidas de seguridad implementadas por el responsable del tratamiento no resultaban adecuadas ni eran suficientes para garantizarla. Además, de que como señala la STS de 15 de febrero 2022 (Rec. 7359/2020), citada en la demanda " No basta con diseñar los medios técnicos y organizativos necesarios también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso".

Es a falta de diligencia de Xfera, como responsable del tratamiento, a la hora de implementar en origen las medidas de seguridad adecuadas para comprobar que la persona que solicita o activa el duplicado de la tarjeta SIM es el titular de ésta es lo que constituye el elemento de la culpabilidad.

En consecuencia, concurre el elemento subjetivo de la culpabilidad necesario para poder sancionar, incompatible con la existencia del error invencible alegado. Las medidas de seguridad implementadas con posterioridad, no afectan a la comisión de la infracción y contrariamente a lo pretendido por la actora no pueden amparar la aplicación de una eximente, sin perjuicio de que hayan sido tomada en consideración como atenuante del artículo 83.2.c) del RGPD a la hora de fijar la sanción.

Fi nalmente, en lo referente a que no cabe culpar a Xfera de las operaciones fraudulentas realizadas por terceros, indicar que la AEPD no ha extendido la responsabilidad de la demandante más allá de sus obligaciones como responsable del tratamiento y así lo ha puesto de manifiesto reiteradamente en la resolución sancionadora -páginas 683, 684, 685 y 691 del expediente- reiterando que el procedimiento no examina las actuaciones de terceros intervinientes (suplantadores y entidades bancarias), remitiéndonos a lo que con posterioridad se dirá al tratar del último motivo de impugnación.

SÉ PTIMO.- Xfera no vulneró la confidencialidad de los datos personales de sus clientes.

Al ega que contrariamente a lo afirmado por la Agencia, por el mero hecho de realizar un duplicado de una tarjeta SIM no se vulnera el principio de confidencialidad pues la tarjeta SIM no identifica ningún número de teléfono, porque el número de teléfono se guarda en los servidores de Xfera y el único dato que incluye dicha tarjeta es el IMSI que se almacena de forma cifrada de modo que no es accesible al usuario, por lo que no se pierde la confidencialidad de los datos.

Pu es bien, la tarjeta SIM es una tarjeta inteligente que se inserta dentro del terminal móvil, que contiene un chip en que se almacena la clave del servicio de suscriptor o abonado usado para identificarse ante la red.

As í, señala la Fiscalía General del Estado, en informe de julio de 2016, citado por la resolución recurrida: "según los estándares europeos relativos a sistemas de telecomunicaciones celulares digitales, establecidos por el Instituto Europeo de Estándares de Telecomunicaciones (ETSI), un dispositivo de comunicaciones móviles celulares plenamente operativo, denominado en el lenguaje coloquial "Teléfono Móvil" se compone materialmente de dos elementos esenciales. En primer lugar, el terminal (...). En segundo lugar, el módulo de identificación de usuario, más conocido como "tarjeta SIM" (Subscriber Identity Module). Esta tarjeta SIM es intercambiable entre los diferentes terminales móviles existentes en el mercado y contiene en su chip digital la información necesaria para identificar y autenticar al abonado, incluido el International Mobile Subscriber Identity (IMSI), el cuál identifica de forma inequívoca al abonado en la red celular. Sin un IMSI válido los servicios de telefonía móvil no serán accesibles, salvo en el caso de llamadas de emergencia".

Po r tanto, el IMSI es el código de identificación en la red de comunicaciones móviles celulares y es fundamental para identificar al abonado, y como está almacenado en la tarjeta SIM, quien tenga dicha tarjeta (el suplantador) tiene el IMSI almacenado. Además, en cuanto el suplantador introduzca la SIM en un terminal y lo encienda, el IMSI va a ser accedido e intercambiado con la red.

As í las cosas, en la medida que e IMSI instalado en la tarjeta SIM permite singularizar a un individuo y por tanto identificarle, ha de ser considerado como dato personal, según el artículo 4 del RGPD, que conceptúa como tal " toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona".

Es decir, la expedición inadecuada de la tarjeta SIM del teléfono móvil de una persona a un tercero que suplanta su identidad permite a dicho tercero acceder a la información confidencial almacenada en dicha tarjeta y a la línea del legítimo titular de la tarjeta SIM, existiendo una clara pérdida de confidencialidad pues los datos son transmitidos a un tercero ilegítimamente.

Té ngase en cuenta que en España desde 2007, en virtud de la Disposición Única de la Ley 25/2007, de 18 de octubre, se exige que los titulares de todas las tarjetas SIM estén debidamente identificados y registrados. Esto es importante por cuanto la identificación del abonado será imprescindible para dar de alta la tarjeta SIM, lo que conllevará que a la hora de obtener un duplicado de ésta la persona que lo solicite haya de identificarse y que su identidad coincida con la del titular.

En suma, tanto los datos personales (nombre, apellidos y DNI) que se tratan para emitir un duplicado de la tarjeta SIM, como la propia tarjeta SIM que identifica de forma inequívoca al abonado en la red, son datos de carácter personal y su tratamiento, así como la seguridad y confidencialidad de dichos datos vinculados a la emisión/activación de un duplicado de la tarjeta SIM, están sujetos a la normativa de protección de datos.

Po r tanto, en lo que aquí concierne, el derecho afectado es la protección de datos y la AEPD es competente para sancionar la concreta conducta a que se refiere este procedimiento, no la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, como propugna la actora que considera afectado el derecho al secreto de las comunicaciones reconocido en el art 39 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

OC TAVO.- Quiebra del principio de confianza legítima y mala fe administrativa.

Al ega la actora que la AEPD ha vulnerado los principios de buena fe y confianza legítima, principios que deben ser puestos en relación con la doctrina de los actos propios. Señala a tal fin, que la Agencia convocó a los operadores para buscar una solución a la problemática del SIM swapping y en las distintas reuniones celebradas en fechas 20/1/2020, 4/12/2020 y 18/1/2021, a las que acudió la Directora de la AEPD, fueron proactivos en la amplia y extensa aplicación de las medidas adoptadas y a adoptar para controlar potenciales casos de SIM swapping fraudulentos y así se recoge en el acta de una de esas reuniones.

Es grime que compartió información con la Agencia creyendo que iba a ser utilizada en el marco de ese grupo de trabajo. Sin embargo, mientras por una parte avanzaba hacia una solución del problema basada en la colaboración, por otra avanzaba en la investigación del procedimiento que nos ocupa, yendo contra sus propios actos y quebrando las expectativas de los operadores y la esperanza inducida por el actuar de la AEPD.

El principio de confianza legítima, junto con el de buena fe y lealtad institucional, aparecen reconocidos en el artículo 3.1.e) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

La STS de 18 de julio de 2017 (Rec. 4576/2016) recuerda " que la jurisprudencia de esta Sala, recogida en las sentencias de 10 de mayo de 1999 (RCA 594/1995 ); de 17 de junio de 2003 (RCA 492/1999 ) 6 de julio de 2012 (RCA 288/2011 ), 22 de enero de 2013 (RCA 470/2011 ), y 21 de septiembre de 2015 (RCA 721/2013 ), sostiene que el principio de protección de la confianza legítima, relacionado con los más tradicionales en nuestro ordenamiento de la seguridad jurídica y la buena fe en las relaciones entre la Administración y los particulares, comporta «el que la autoridad pública no pueda adoptar medidas que resulten contrarias a la esperanza inducida por la razonable estabilidad en las decisiones de aquélla, y en función de las cuales los particulares han adoptado determinadas decisiones».

Es te principio de confianza legítima encuentra su fundamento último, de acuerdo con la sentencia de esta Sala de 24 de marzo de 2003 (recurso 100/1998 ) y de 20 de septiembre de 2012 (recurso 5511/2009 ), "en la protección que objetivamente requiere la confianza que fundadamente se puede haber depositado en el comportamiento ajeno y el deber de coherencia de dicho comportamiento", y en el principio de buena fe que rige la actuación administrativa, pues como afirma la sentencia de 15 de abril de 2005 (recurso 2900/2002 ) y nuevamente la ya referenciada de 20 de septiembre de 2012, «si la Administración desarrolla una actividad de tal naturaleza que pueda inducir razonablemente a los ciudadanos a esperar determinada conducta por su parte, su ulterior decisión adversa supondría quebrantar la buena fe en que ha de inspirarse la actuación de la misma y defraudar las legítimas expectativas que su conducta hubiese generado en el administrado».

Ah ora bien, la protección de la confianza legítima no abarca cualquier tipo de convicción psicológica subjetiva en el particular, sino que como indican las sentencias de esta Sala de 30 de octubre de 2012 (recurso 1657/2010 ) y 16 de junio de 2014 (recurso 4588/2011 ), se refiere a «la creencia racional y fundada de que por actos anteriores, la Administración adoptará una determinada decisión», y como indican las sentencias de 2 de enero de 2012 (recurso 178/2011 ) y 3 de marzo de 2016 (recurso 3012/2014 ), tan solo es susceptible de protección aquella confianza sobre aspectos concretos, «que se base en signos o hechos externos producidos por la Administración suficientemente concluyentes».

En el caso de autos, como consecuencia de la nota interior de la Directora de la AEPD de 27 de noviembre de 2019, en el marco de las actuaciones previas de investigación se acordó realizar un primer requerimiento de información a Xfera con fecha 13 de enero de 2020, notificado a dicha entidad al día siguiente -página 79 del expediente-. Requerimiento de información, obrante a las páginas 76 y 77 del expediente, en el que se indica su adopción en el marco de las citadas actuaciones de investigación y contiene expresa referencia al artículo 67 de la LOPDGDD, titulado "Actuaciones previas de investigación". También expresa la obligación de facilitar los documentos, informaciones y cualquier otra colaboración que se precise para realizar la función de inspección y que el incumplimiento de esa obligación podría comportar la comisión de la infracción tipificada en el artículo 83.5.e) del RGPD.

Po r lo tanto, resulta claro que la información requerida lo era en el marco de las citadas actuaciones previas y para utilizarla en las mismas, sin que se aprecie confusión al respecto.

Ca be resaltar que el citado artículo 67 LOPDGDD se inserta dentro del Título VIII "Procedimientos en caso de posible vulneración de la normativa de protección datos", por lo que tiene un alcance claro y específico, que difiere de la información destinada a la elaboración de planes de auditoría a que se refiere el artículo 54 de la LOPDGDD, invocado por la actora.

Ad emás, el requerimiento de información efectuado no cita ni alude a reunión alguna, ni hace referencia al artículo 52 de la LOPDGDD, también invocado en la demanda, sino al artículo 67 de la misma Ley, lo que disipa todo tipo de dudas o expectativas.

El hecho de que la AEPD se relacione con los principales operadores de telecomunicaciones para solventar cuestiones que puedan afectar al derecho de protección de datos de los ciudadanos, en el ejercicio de funciones propias ex artículo 57.1.d) de la LOPDGDD, no le impide investigar en el marco de las actuaciones previas de investigación del artículo 67 LOPDGDD y sancionar, en su caso, aquellas conductas que considere hayan infringido el ordenamiento jurídico.

De otro lado, no se aprecia que la AEPD empleara información suministrada por Xfera en el marco de dichas reuniones para sancionarla, sino que la información obtenida fue a través de las actuaciones previas de investigación, abiertas con anterioridad a la primera reunión del grupo de trabajo celebrada con la Directora de la AEPD el 20 de enero de 2020. Reuniones en las que participaban múltiples intervinientes: la Dirección General de Telecomunicaciones, la Fiscalía, el Ministerio del Interior, INCIBE, DigitalES, AEBANCA y los cuatro principales operadores de telecomunicaciones móviles, como se recoge en el anexo del acta de la reunión de 4 de diciembre de 2020 sobre duplicidad de las tarjetas SIM - páginas 408 y siguientes del expediente- invocada por la actora.

En definitiva, a la vista de lo expuesto y en aplicación de la doctrina jurisprudencial reseñada, no cabe apreciar quiebra de los principios invocados.

.

NO VENO.- Falta de idoneidad, necesidad y proporcionalidad de la sanción impuesta.

In voca la actora el artículo 29.3 de la Ley 40/2015 y alega que la Agencia no acredita que una sanción por importe tan relevante de 200.000 € sea necesaria, idónea y proporcional, habida cuenta que Xfera ya ha adoptado e incrementado las medidas de seguridad reduciendo la incidencia de dicha práctica de SIM Swapping de forma extraordinaria.

Ha bida cuenta de las circunstancias concurrentes y de los esfuerzos realizados por Xfera para poner solución a los hechos supuestamente constitutivos de infracción, solicita la aplicación del artículo 29.4 de la Ley 40/2015 y se reduzca la sanción a una cuantía no superior a 100.000 €.

El invocado artículo 29 de la Ley 40/2015 "Principio de proporcionalidad", dispone en su apartado 3: " En la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones Públicas se deberá observar la debida idoneidad y la necesidad de la sanción a imponer y su adecuación a la gravedad del hecho constitutivo de infracción".

Ad uce Xfera que al haber adoptado ya medidas de seguridad no corresponde sanción conforme al principio de necesidad e idoneidad.

Ah ora bien, conviene recordar que el Considerando 148 del RGPD señala: " A fin de reforzar la aplicación de las normas del presente Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del presente Reglamento, o en sustitución de estas. En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento (...)".

Y el Considerando 150 en esta línea precisa " A fin de reforzar y armonizar las sanciones administrativas por infracción del presente Reglamento, cada autoridad de control debe estar facultada para imponer multas administrativas. El presente Reglamento debe indicar las infracciones así como el límite máximo y los criterios para fijar las correspondientes multas administrativas, que la autoridad de control competente debe determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él, atendiendo en particular a la naturaleza, gravedad y duración de la infracción y sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la infracción (...)".

En esta línea, el artículo 83 del RGPD "Condiciones generales para las multas administrativas", tras señalar en el apartado 1, que cada autoridad de control garantizará que la imposición de las multas administrativas con arreglo a dicho artículo por las infracciones de dicho RGPD indicadas en los apartados 4, 5 y 6 sean en cada caso individual "efectivas, proporcionadas y disuasorias", añade en el apartado 2: " Las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j) (...)", lo que implica que las multas no se sustituyen por medidas coercitivas.

Y el apartado 5 del mismo artículo 83 establece que " Las infracciones de las disposiciones siguientes se sancionaran, de acuerdo con el apartado 2, con " multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9".

As í las cosas, acreditada la comisión por Xfera de una infracción por vulneración del artículo 5.1.f) del RGPD, ninguna objeción puede hacerse a que dicha infracción sea sancionada con una multa administrativa cuando es la sanción asignada al tipo apreciado. Cuestión distinta es el quantum de la sanción, que la demandante considera desproporcionado en atención a las circunstancias concurrentes y que está directamente conectado con el motivo siguiente, que pasamos a examinar.

DÉ CIMO.- Incorrecta aplicación de circunstancias agravantes.

Ad uce Xfera que la AEPD aplica la agravante del artículo 83.2.a) del RGPD y utiliza para ello varios criterios que considera no ajustados a Derecho, refiriéndose a dos de ellos. También impugna la aplicación de la agravante del artículo 83.2.g) del RGPD.

El artículo 83.2 del RGPD, al que hemos hecho referencia en el Fundamento de Derecho precedente, establece que las multas administrativas se impondrán teniendo en cuenta: " a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido".

Di screpa sobre que " el nivel de los perjuicios causados es alto, ya que el acceso a dichas tarjetas SIM ha derivado en operaciones bancarias fraudulentas sucedidas en un corto periodo de tiempo", por cuanto no se ha acreditado que los afectados como consecuencia de los hechos declarados probados hayan sufrido perjuicio alguno y, además, la normativa vigente en materia de servicios de pago garantiza a los usuarios de este tipo de servicios una amplia protección con cita del art. 45 del Real Decreto-ley 19/2018.

As imismo, cuestiona que la naturaleza de la infracción sea muy grave " porque conlleva una pérdida y disposición y control de datos personales", alegando que no se produce dicha pérdida de disposición y control de datos personales tratados por Xfera, por cuanto un duplicado de tarjeta SIM no permite el acceso a datos personales de ningún tipo.

Co menzando por esto último, reitera la actora un alegato formulado con anterioridad y que ya ha sido examinado y rechazado. Efectivamente, como se ha dicho, la emisión y entrega de un duplicado de una tarjeta SIM a un tercero no autorizado supone para los afectados la pérdida de control de sus datos, con el grave riesgo que ello conlleva, especialmente cuando tras la entrada en vigor de la Directiva PSD2, como subraya la resolución sancionadora, el teléfono móvil - en el que se inserta la tarjeta SIM- ha pasado a desempeñar un papel muy importante en la realización de pagos online al ser necesario para la confirmación de operaciones. Por ello, Xfera tiene el deber de garantizar la seguridad de ese dato personal integrado en la tarjeta SIM para evitar accesos no autorizados y garantizar su confidencialidad.

Y esta última consideración es la que se tiene en cuenta para ver el verdadero alcance de la infracción cometida por Xfera relativa a la pérdida de confidencialidad de los datos personales, sin que ello implique que se impute a dicha entidad la responsabilidad de terceros intervinientes.

Re specto a los daños y perjuicios hay que tener en cuenta que abarcan no solo los económicos sino también los inmateriales como resulta del Considerando 75 del RGPD, debiendo desestimarse, en suma, los alegatos efectuados.

Po r lo que se refiere a la agravante del artículo 83.2.g) del RGPD, se tendrán en cuenta "g) las categorías de datos de carácter personal afectados por la infracción", rechaza la aplicación de dicha agravante por cuanto la tarjeta SIM no es una categoría de datos personales cuyo acceso no autorizado es particularmente grave.

La resolución sancionadora argumenta al respecto que se trata de un dato de naturaleza sensible " se trata de la tarjeta misma como dato personal asociada a una línea de telefonía titular de un usuario, que se obtiene con la finalidad de suplantar su personalidad para obtener acceso -entre otros-a las aplicaciones bancarias o comercio electrónico con la finalidad de interactuar y realizar operaciones en su nombre (...)".

Ar gumentación que desvirtúa lo alegado por la actora y pone de relieve que se trata de un dato personal cuyo acceso no autorizado es particular grave. Ello sin perjuicio de que para la expedición del duplicado de la citada tarjeta se han tratado datos de carácter personal tales como el nombre y apellidos y DNI del titular.

As í las cosas, atendidas las circunstancias concurrentes en el presente caso, sin estima la Sala que la resolución sancionadora no ha infringido el principio de proporcionalidad en la determinación de la sanción impuesta, que resulta ponderada y proporcionada a la gravedad de la infracción cometida y la entidad de los hechos, sin que se aprecien razones que justifiquen su minoración, ni la aplicación del artículo 29 de la Ley 40/2015.

En consecuencia, procede desestimar el presente recurso contencioso-administrativo.

UN DÉCIMO.- De conformidad con lo dispuesto en el artículo 139.1 de la Ley Jurisdiccional, procede imponer las costas a la parte demandante

Vistos los artículos citados y demás de pertinente y general aplicación