Hiszpański organ ochrony danych osobowych (AEPD) otrzymał dwie skargi od klientów operatora Orange Espagne S.A.U. Dotyczyły one domniemanego powielenia i aktywacji kart SIM oraz przejęcia kontroli nad połączeniami telefonicznymi przez cyberprzestępców. W następstwie tej działalności miało dojść do oszustw i wyłudzenia środków pieniężnych.
W wyniku przeprowadzonego postępowania AEPD stwierdziła, że środki ochrony danych wdrożone przez Orange Espagne S.A.U. były niewystarczające, ponieważ umożliwiały przekazanie danych osobowych nieuprawnionej osobie trzeciej. AEPD stwierdził ponadto, że operator nie weryfikował odpowiednio tożsamości wnioskodawców przed wydaniem kart SIM, a zatem naruszył zasady integralności i poufności danych osobowych określone w art. 5 ust. 1 lit. f RODO.
Podejmując decyzję organ wziął pod uwagę, że Orange Espagne S.A.U. dopuściła się zaniedbania nie zapewniając procedury gwarantującej ochronę danych osobowych swoich klientów i nałożył na operatora administracyjną karę pieniężną.