Hiszpański urząd ochrony danych (AEPD) opublikował swoją decyzję w postępowaniu nr PS/00064/2023. W wyniku tej decyzji Digi Spain Telecom S.L.U. zostało ukarane grzywną w wysokości 70 000 € za naruszenie RODO.
Postępowanie zostało zainicjowane przez skargę. Skarżący twierdził, że nieuprawnione osoby podszyły się pod niego w punkcie Digi i aktywowały duplikat karty SIM, używając jego danych osobowych. W konsekwencji skarżący stracił połączenie w swoim telefonie komórkowym. Po skontaktowaniu się z Digi odzyskał swoją kartę SIM.
Skarżący wskazał, że po tym incydencie były kolejne próby zamiany jego karty SIM przez nieuprawnione osoby. Digi skontaktowało się ze skarżącym w celu ustalenia hasła, które miało być używane podczas żądania duplikatu karty SIM. Jednak pomimo ustalenia hasła, kiedy skarżący ponownie stracił swoją kartę SIM i poprosił o nową, Digi wydało mu kartę bez wcześniejszego pytania o hasło.
AEPD stwierdziło, że Digi naruszyło art. 6 ust. 1 RODO, udostępniając duplikat karty SIM skarżącego osobie trzeciej bez jego zgody. Ponadto AEPD uznało, że Digi nie przestrzegało ustalonych protokołów weryfikacji podczas wydawania nowej karty SIM skarżącemu.
W konsekwencji tych naruszeń AEPD nałożył na Digi karę w wysokości 70 000 €.