A Agência Espanhola de Proteção de Dados (AEPD) impôs uma multa de € 200.000 à Orange Espagne, por entregar a um terceiro um cartão SIM duplicado sem o consentimento do titular dos dados e sem verificar a identidade do solicitante. O incidente, que ocorreu em 15 de agosto de 2022, resultou no acesso indevido a dados bancários do titular, causando-lhe prejuízos financeiros. Apesar das alegações da Orange de que tomou medidas para evitar cobranças indevidas e prevenir futuros abusos, como ajustar as cobranças geradas pelos SIMs duplicados e bloquear o dispositivo que criou o SIM duplicado, a AEPD concluiu que a empresa não tomou as precauções necessárias para evitar tais eventos.

A decisão destaca a falha da Orange em bloquear imediatamente o SIM após ser informada pelo titular de dados que não havia solicitado o cartão adicional, permitindo que a terceira parte acessasse dados bancários do titular e causasse danos financeiros. A multa foi aplicada com base na violação do Artigo 6(1) do Regulamento Geral sobre a Proteção de Dados (GDPR), por falta de base legal para o processamento de dados do titular ao conceder acesso a um SIM duplicado sem consentimento e verificação de identidade.

Comentário: O caso demonstra que falhas operacionais - na situação, de uma operadora de telefonia - também podem ser abordadas pela via da LGPD. Além dos prejuízos evidentes que a entrega de um SIM card de um cliente para um terceiro possa causar, há também evidentes impactos na proteção dos dados do consumidor. O terceiro envolvido poderia ter acesso a códigos de segundo fator de autenticação encaminhados por aplicativos, o que poderia permitir acessos não autorizados aos sistemas.

Com informações GDPRHub