AEPD resolves identity theft data use complaint against TELFY TELECOM

1/7  Expediente N.º: EXP202515296 (PD/00336/2025) RESOLUCIÓN DE PROCEDIMIENT O DE DERECHOS Vi sta la reclamación registrada En fecha 19 de julio de 2025 ante esta Agencia Española de Protección de Datos, (en lo sucesivo, AEPD) y realizadas las actuaciones procedimentales previstas en el Tít ulo VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantí a de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes HECHOS PRIMERO: A.A.A. (en lo sucesivo, la parte reclamante) ejerció el derecho de acceso frente a la entidad TELFY TELECOM, S.L. con CIF.: B54076708 (en lo sucesivo, TELFY o la parte reclamada). El reclamante manifiesta haber sido víctima de una suplantación de identidad en la contratación de un servicio de telecomunicaciones, mediante el uso indebido de sus datos personales y de una fotografía de su DNI. Indica que presentó la correspondiente denuncia policial (at estado nº **REFERENCIA.1) y que, con el fin de comprobar si dicha suplantación se había producido en otras compañías, contactó con las distintas operadoras de telecomunicaciones que operan en España, solicitando información sobre si sus datos personales constaban o habían constado como cliente. Junto al escrito de reclamación presenta la siguiente documentación: - Fechado el 25/10/2024, corr eo electrónico remitido por el reclamante desde la dirección *EMAIL.1 al responsable del tratamiento de datos de TELFY, **EMAIL.2, con el asunto: “Al Responsable del tratamiento de datos - Suplantación de identidad”, en el que comunica haber sido víctima de una suplantación de identidad en la contratación de un servicio de telecomunicaciones, y solicita confirmación sobre si consta o ha constado como cliente de dicha compañía con sus datos personales. SEGUNDO: En f echa 24 de septiembre de 2025, de conformidad con el artículo 65.4 de la LOPDGDD, se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. El traslado se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante, LP ACAP), mediante notificación electrónica el 24/09/ 2025 como consta en el justificante de recibo que figura en el exped iente, no constando ningún tipo de respuesta del reclamado a dicho traslado. TERCERO: En fecha 19 de octubre de 2025, de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

2/7 CUAR TO: En fecha 28 de noviembre de 2025, se concedió a la parte reclamada trámite de audiencia, para que en el plazo de quince días hábiles presentase las alegaciones que estimara convenientes. QUINT O: En fecha 22 de diciembre de 2025, por parte de la reclamada presenta escrito de alegaciones en el que manifiesta, en síntesis, lo siguiente: - Manifiesta, en primer lugar, que no recibió el correo el ectrónico re mitido por la parte reclamante el 25 de octubre de 2024, mediante el cual esta habría ejercitado su derecho de acceso, afirmando haber revisado tanto la bandeja de entrada como la de correo no deseado de la dirección ***EMAIL.2 sin localizar dicho mensaje. Sostiene que la falta de respuesta no obedeció a una actuación negligente, sino al desconocimiento ef ectivo de la solicitud, apuntando como mera hipótesis que el correo pudiera haber sido f iltrado como spam y eliminado automáticamente. - Alega que no existió voluntad de incumplir el plazo legal para atender solicitudes de ejercicio de derechos, indicando que la entidad es conocedora del plazo de un mes previsto en la normativa de pr otección de datos. En es te sentido, señala que, una vez tuvo conocimiento de la existencia de la solicitud a raíz de la comunicación de esta Agencia, procedió a contestar al interesado de forma inmediata, remitiendo r espuesta el 26/09/2025, dos días después de recibir el traslado de la reclamación, comunicándole si constaban o no sus datos personales en sus bases de datos y ofreciendo disculpas por lo ocurrido. - Destaca su alto grado de compromiso con el cumplimiento del RGPD, afirmando haber adopt ado medidas técnicas y organizativas adecuadas y aportando un manual interno de protocolos en materia de prot ección de datos. Indica que el ejercicio de derechos puede realizarse de forma sencilla a través de distintas vías, m encionando direcciones de co rreo electrónico habilitadas y el uso del sello “Vi gilaMisDatos”, y añade que se someten periódicamente a tareas de mantenimiento y auditoría para asegurar el cumplimiento normativo. - Finalmente, expone que, como consecuencia de la presente reclamación, ha procedido a revisar y modificar la configuración de sus sistemas de correo electrónico, estableciendo todas las direcciones como correos de confianza para evitar incidencias similares en el futuro, y designa una direcc ión de correo electrónico específica a efectos de no tificaciones por parte de la Agencia. Con base en todo lo anterior, solicita que se tenga por atendida la solicitud de información y que no se inicie o se archive la reclamación. Junto al escrito de alegaciones se presenta la siguiente documentación: - Documento n.º 1: documento aportado por la entidad TELFL Y en el que se responde a la solicitud formulada por el reclamante sobre la posible existencia de contratos de telecomunicaciones asociados a sus datos personales. En dicho escrito la entidad manifiesta que, tras las comprobaciones realizadas en sus sistemas, no const a ni ha constado ningún contrato activo o histórico vinculado a los datos identificativos del reclamante, negando la existencia de relación contractual alguna y, por ende, del tratamiento de sus datos. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

3/7 - Documento n.º 2: corr eo electrónico remitido por TELFL Y al reclamante, en el que se confirma la recepción de la consulta relativa a una posible suplant ación de ident idad y se informa de que se procederá a revisar internamente si los datos del reclamante figuran en sus bases de clientes. El correo tiene carácter informativo y de acuse de recibo. - Documento n.º 3: captura de pantalla de un panel de configuración técnica de correo electrónico (sistema de seguridad t ipo Greylisting), en la que se muestra que el filtrado antispam se encuent ra activado y que determinados proveedores de correo electrónico (Microsoft Office 365, Outlook/Hotmail, Apple, Y ahoo, entre otros) figuran como proveedores de confianza. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, (en adelante, RGPD), otorga a cada autoridad de control y según lo estable cido en los artículos 47, 48.1 y 64.1 de la LOPDGDD, es competente para r esolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Cuestiones previas De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los r esponsables y los encargados del tratamiento acerca de las obligaciones que les incumben, así como t ratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas. Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del trat amiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad. De conformidad con esta norm ativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a t rámite de la reclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la m isma a la parte reclamada para que C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

4/7 procediese a su análisi s, diera respuesta a est a Agenci a en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida. El resultado de dicho traslado no permitió entender satisfechas las pret ensiones de la parte reclamante. En consecuencia, con fecha 19 de octubre de 2025, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente procedimiento de f alta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual: “Cuando el procedimiento se r efiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. T ranscu rrido ese plazo, el interesado podrá considerar estimada su reclamación”. El artículo 58.2 del RGPD confiere a la Agenci a Española de Protección de Datos una serie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye “ordenar al resp onsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos en virtud del RGPD. III Derechos de las personas en materia de protección de datos personales Los derechos de las personas en materia de prot ección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposici ón, derecho a la limitación del tratamiento y derecho a la portabilidad. Los aspect os formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD. Se tiene en cuenta, además, lo expresado en los Considerandos 59 y ss. del RGPD. De conformidad con lo dispuesto en estas norm as, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para f acilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el r esponsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

5/7 La com unicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. IV Derecho de acceso Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la L OPDGDD, "el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales". T ratándose del derecho de acceso a los datos personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que especifique los "datos o actividades de tratamiento a los que se refiere la solicitud". El derecho se entenderá otorgado si el responsable f acilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los ext remos previstos en el artículo 15 del RGPD). El ejercicio de este derecho se podrá considerar repetitivo si se ejerce en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello. Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser asumido por el afectado. Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se es tá haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorí as de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que podrán comunicarse los datos, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un t ercer país o a una organización internacional. La posibilidad de obtener copia de los datos personales objeto de tratamiento no afectará negativamente a los derechos y libertades de otros. IV Conclusión En el presente caso, la parte reclamante ejercitó el derecho de acceso frente a la entidad TELFY TELECOM, S.L., en el contexto de una presunta suplantación de identidad en la contratación de servicios de telecomunicaciones. El reclamante manifestó haber sido víctima del uso indebido de sus dat os personales y de una fotografía de su DNI, circunstancia que mo tivó la interposición de la correspondiente denuncia policial (atestado nº ***REFERENCIA.1) y la realización de gestiones ante C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

6/7 distintas operadoras de telecomunicaciones con el fin de verificar si sus datos habían sido utilizados fraudulentamente para la contratación de servicios. En est e marco, con fecha 25/10/2024, el reclamante remitió un correo electrónico a la dirección habilitada por TELFY en el que comunicaba la suplantación sufrida y solicitaba confirmación sobre si sus datos personales constaban o habían constado como cliente de dicha entidad, interesando, en su caso, la cancela ción del servicio, la comunicación a las aut oridades competentes y la información sobre eventuales intentos futuros de contratación fraudulenta con sus datos. Ante la ausencia de respuesta por parte de la entidad reclamada, presentó reclamación ante esta Agenci a. En fecha 24/09/2025 se dio traslado de la reclamación a TELFY, not ificación que fue correctamente practicada, sin que constara contestación alguna en dicho tr ámite. Posteriormente, la reclamación fue admitida a trámite el 19/10/2025, concediéndose trámite de audiencia a la entidad reclamada el 28/1 1/2025. En su escrito de alegaciones, presentado ante esta Ag encia el 22/12/2025, la entidad reclamada sostuvo no haber recibido el correo electrónico remitido por el reclamante en octubre de 2024, atribuyendo la falta de respuesta a un eventual filtrado automático del mensaje como correo no deseado. Alegó igualmente que no existió voluntad de incumplir los plazos legales y que, una vez tuvo conocimiento de la solicitud a través de la comunicación de esta Agencia el 24/09/2025, procedió a contestar al interesado de forma inmediata, remitiendo respuesta el 26/09/2025, en la que se le informó de que no constaba ni había constado relación contractual alguna. Junto a su escrito de alegaciones, TELFY aportó documentación consistente en una respuesta dirigida el 26/09/2025 a la dirección de corr eo electrónico de la parte reclamante, en la que le confirma que no trata ni ha tratado sus datos personales, un correo electrónico de acuse de recibo dirigid o al interesado y una captura de pantall a de la configuración técnica de sus sistemas de correo electrónico. Considerando que el presente procedimiento tiene como objeto garantizar que los derechos del afectado queden debidamente restaurados y atendidos, y habiéndose acreditado que la entidad reclamada ha dado finalmente respuesta al ejercicio del derecho, aunque de forma extemporánea, procede est imar por motivos formales la presente reclamación, sin que resulte necesaria la realización de actuaciones adicionales por parte del responsable del tratamiento en orden a emitir una nueva comunicación sobre la atención del derecho ejercitado. Vi stos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUEL VE: PRIMERO: ESTIMAR por m otivos formales la reclamación formulada por A.A.A. frente a la entidad TELFY TE LECOM, S.L. con CIF.: B54076708 No procede la emisión de nueva certificación por parte de la parte reclamada, al haberse emitido la respuesta extemporáneamente, sin que se requiera la r ealización de actuaciones adicionales por parte del responsable. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

7/7 SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a la entidad TELFY TELECOM, S.L. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publi cación se realizará una vez se haya notificado a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo estableci do en el artículo 123 de la LP A CAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso- administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es