L’Agència Andorrana de Protecció de Dades (APDA) ha sancionat Andorra Telecom, SAU amb una amonestació per no aplicar mesures adequades en la identificació dels titulars de targetes eSIM. La resolució, que es va emetre el passat 8 d’abril, desestima el recurs de reposició presentat per l’empresa i confirma diversos incompliments de la Llei qualificada de protecció de dades (LQPD) arran d’un cas d'enginyeria social (SIM swapping).
La investigació es va iniciar el passat novembre del 2024, després que l’APDA detectés possibles vulneracions a partir d’informacions publicades als mitjans. Segons es desprèn de l’expedient, diversos suplantadors van aconseguir activar eSIMs fent-se passar per titulars legítims, superant el protocol de verificació que havia establert l’operadora. L’APDA considera que aquest protocol era insuficient per garantir la seguretat de les dades personals i constata que, a més, no es va notificar la violació de seguretat dins del termini legal de 72 hores.
Tot i la gravetat dels fets, com a societat pública, Andorra Telecom està subjecta a un règim sancionador específic que limita la sanció a una amonestació. L’agència, doncs, ha requerit a l’empresa que revisi i actualitzi els protocols d’identificació i li ha recomanat incorporar proves de simulació en els seus processos de seguretat. La resolució es pot consultar amb el número 002-024_B3 al portal oficial de l’APDA.
