La Audiencia Nacional ha ratificado que Orange vulneró la normativa de protección de datos al emitir duplicados de tarjetas SIM sin comprobar adecuadamente la identidad de quienes los solicitaban (sentencia SAN 1685/2025). Esa falta de control dio pie a dos casos de suplantación de identidad mediante SIMSwappingUna técnica delictiva que permite acceder a servicios digitales, redes sociales o cuentas bancarias interceptando los códigos de verificación enviados por SMS.
Los hechos se remontan a 2019 y 2020. En uno de los casos, el duplicado se tramitó a través de un quiosco de autoservicio, y se activó por teléfono sin aplicar el protocolo previsto. En el otro, fue la esposa del afectado quien recibió el SMS que confirmaba la emisión de la nueva SIM. En ambos supuestos, se constató que no se había garantizado una identificación segura del titular de la línea.
La Agencia Española de Protección de Datos (AEPD) consideró que Orange no había implementado medidas adecuadas para proteger los datos personales, incumpliendo el artículo 5.1.f) del RGPD. Inicialmente impuso una sanción de 700.000 euros, pero la Audiencia ha estimado parcialmente el recurso y la ha rebajado a 300.000, al entender que la negligencia fue leve y que la compañía reaccionó con rapidez.
Después de los incidentes, Orange eliminó la posibilidad de emitir duplicados en kioskos y restringió su activación a canales más controlados, como la aplicación móvil, el área de clientes o las tiendas físicas. Estas medidas, junto con el bajo número de afectados y la cooperación de la empresa durante el proceso, han pesado a favor de la reducción de la sanción.
La sentencia también reconoce que, aunque hubo una infracción, no se puede exigir un sistema infalible ni responsabilizar a las operadoras por todos los fraudes cometidos por terceros. Sin embargo, sí se espera que las operadoras apliquen y demuestren medidas eficaces, actualizadas y proporcionales al riesgo.