Hiszpański organ ochrony danych (AEPD) nałożył na Orange Espagne, S.A.U. grzywnę w wysokości 70 000 EUR w następstwie skargi. Skarżący zarzucał, że osoba trzecia zawarła umowę z Orange Espagne bez jego zgody i wiedzy. W efekcie dane osobowe skarżącego zostały umieszczone w systemach informacji kredytowej, ponieważ nie zapłacił za zamówione w wyniku oszustwa usługi.
Orange Espagne twierdziła, że skarżący nie poinformował ją o kradzieży tożsamości. Zdaniem organu nadzorczego administrator nie dochował jednak należytej staranności w celu zapobieżenia naruszeniu, ponieważ nie zastosował swojej procedury antyfraudowej. Administrator nie był w stanie wykazać, że dane skarżącego są przez niego przetwarzane w sposób legalny.
Orange Espagne naruszyła art. 6 ust. 1 RODO, ponieważ nie była w stanie wykazać, że przetwarzała dane osobowe skarżącego na podstawie ważnej podstawy prawnej.
Na podstawie dokonanych ustaleń AEPD uznał za stosowne nałożenie na Orange Espagne administracyjnej kary pieniężnej.