MásMóvil sancionada por tratar datos personales sin consentimiento de los usuarios
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 200.000 euros al Grupo MásMóvil por un fallo grave en su protocolo de portabilidades que hasta finales de 2022 permitió suplantaciones de identidad para el robo de líneas telefónicas. La sanción se produce tras la denuncia interpuesta por FACUA-Consumidores en Acción, que alertó de que era posible migrar líneas contratadas con cualquier operador a las compañías del grupo con solo conocer el nombre y DNI del titular.
La infracción, tipificada en el artículo 83.5.a) del Reglamento General de Protección de Datos, se basa en el incumplimiento del artículo 6.1 del mismo, al haberse tratado datos personales sin el consentimiento de los afectados. El procedimiento se dirige contra Xfera Móviles SAU, sociedad matriz del Grupo MásMóvil, propietario de más de una docena de marcas, entre ellas Yoigo, Pepephone, Euskaltel o Lycamobile. Desde 2024, el grupo está fusionado con Orange.
Según FACUA, las compañías del grupo no enviaban a los clientes ningún código de verificación por SMS —mecanismo habitual para confirmar la identidad del titular—, lo que permitía a terceros suplantarlos y autorizar portabilidades fraudulentas. Además, los repartidores que entregaban las tarjetas SIM tampoco verificaban la identidad de la persona que las recibía, sin solicitar ni comprobar el DNI asociado a la línea.
La propia asociación tuvo conocimiento de estas prácticas en septiembre de 2022, cuando su secretario general, Rubén Sánchez, fue víctima de un caso de portabilidad fraudulenta.
FACUA denunció que MásMóvil no corrigió el problema de inmediato, pese a haber sido advertida. La compañía reconoció que no introduciría cambios en su protocolo hasta finales de diciembre de 2022, lo que llevó a la asociación a hacer públicas las irregularidades un mes antes.
El Real Decreto 899/2009, que regula la carta de derechos de los usuarios de comunicaciones electrónicas, establece que ningún operador puede acceder a la línea de un cliente sin su consentimiento expreso. A su vez, la Ley General para la Defensa de los Consumidores y Usuarios obliga a que en cualquier contratación quede constancia inequívoca de la voluntad del consumidor.
La Comisión Nacional de los Mercados y la Competencia (CNMC) también fija en sus especificaciones técnicas la necesidad de una acreditación clara del consentimiento del abonado para autorizar portabilidades, generalmente mediante un SMS con código de validación.