AEPD Resolution: Simyo Denied Voice Recording Access

1/7  Expediente N.º: EXP202513723 (PD/00338/2025) RESOLUCIÓN DE PROCEDIMIENT O DE DERECHOS Vi sta la reclamaci ón registrada en fecha 7 de agosto de 2025 ante esta Agencia Española de Protección de Datos (en lo sucesivo, AEPD) y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes HECHOS PRIMERO: A.A.A. (en lo sucesivo, la par te reclamante) ej erció el derecho de acceso frente a la entidad O RANGE ESP AÑA VIRTU AL, S.L. con CIF.: B85057974 (en lo sucesivo, SIMYO o la parte reclamada). El reclamante expone que, con f echa 20/12/2024 dirigió a Simyo una solicitud de ejercicio d el derecho de acceso al amparo del artículo 15 del R GPD, interesando la copia de la grabación de voz del proceso de portabilidad realizado el 18 de diciembre de 2024, mediante el cual la línea * *TELÉFONO.1 f ue transferida desde MásMóvil a Simyo sin su consentimiento, apo rtando copia de su DNI y poniendo en conocimiento que los hechos estaban siendo objeto de denuncia por presunta suplantación de identidad. Señala que la respuesta del operador, recibida en febrero de 2025, consistió en una denegación genérica del acceso solicitado, al condicionarse la entrega de la grabación a la existencia de una orden judicial, requisito no previsto en la normativa vigente. Junto al escrito de reclamación presenta, entre otra, la siguiente documentación: - Fechado el 20/12/2024, correo electrónico enviado por el reclamante a *EMAIL.1, con asunto “ SIM Swapping ”, mediante el cual el reclamante comunica una suplantación de identidad, materializada en la portabilidad no consentida de su línea telefónica desde MásMóvil a Simyo y ejercita el derecho de acceso solicitando las grabaciones del pr oceso de portabilidad, interesando además conocer el cauce adecua do para p oner determinados datos a disposición de la autoridad policial. - Fechado el 31/01/2025, correo electrónico enviado por **EMAIL. 1 al reclamante, en el que Simyo deniega la entrega de las grabaciones solicitadas, indicando que únicamente podrían facilitarse si la solicitud pr ocede de una entidad ofici al y en el marco de un trámite o investigación judicial, condicionando así el acceso a la existencia de una orden o requerimiento judicial y ofreciendo canales de atención alternativa (teléfono, chat o correo). SEGUNDO: En fecha 21 de octubre de 2025 de conform idad con el artículo 65.4 de la LOPDGDD, se dio tr aslado de dicha reclamación a la parte reclamada, para que procediese a su análisi s e informase a esta Agencia en el plazo de un mes, de l as acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

2/7 TERCERO: En fecha 24 de noviembre de 2025 la entidad reclamada remite a esta Agencia escrito de respuesta a la solicitud de información manifestando que, en el momento en que el reclamante contactó con su Servicio de Atenci ón al Cli ente, se le indicó que debía canalizar la solicitud a través de las Fuerzas y Cuerpos de Seguridad del Estado, con la f inalidad de garantizar la trazabilidad y custodia de la información en un contexto que presentaba indicios de irregularidad y evitar un p osible uso i ndebido de los datos. No obstante, lo anterior, una vez revisadas las circunstancias y confirmada la legitimidad del ejercicio del derecho, la entidad procedió a atender la solicitud, remitiendo al reclamante las grabaciones solicitadas con fecha 24/1 1/2025. Junto al escrito se acompaña la siguiente documentación: - Fechado en noviembre de 2025 (fecha exacta no visible en el documento), comunicación escrita remitida por SIMYO – Orange España Vi rtual, S.L.U. al reclamante, en la que la entidad informa de la rem isión de la grabación solicitada en ejercicio del derecho de acceso, anunciando el envío de un segundo correo con las in strucciones de acceso por motivos de seguridad, y advierte del carácter confidencial de las grabaciones, que cont ienen datos personales de t erceros, indicando la prohibición de su difusión y facilitando como canal de contacto: ***EMAIL.2. CUAR T O: En fecha 7 de noviembre de 2025 de conformidad con el artículo 65 de la LOPDGDD, se admitió a trámite la reclamación presentada por la parte reclamante. QUINT O: En fecha 24 de noviembre de 2025 se r ecibe en est a A EPD un nuevo escrito del reclamante en el que manifiesta lo siguiente: - Pone de manifiesto la concurrencia de un hecho sustancial sobrevenido en el marco del expedien te, consistente en que la entidad reclamada ha procedido finalmente a entregar la grabación de voz solicitada, con fecha 24 de noviembre de 2025, casi un año después de la solicitud inicial de acceso formulada el 20/12/2024 y después de la reclamación ante la A EPD. - Aporta como nueva prueba la transcripción y el archivo de audio de la llamada de portabilidad, que, según expone, acreditan deficiencias graves en las medidas de seguridad aplicadas por el operador, al haberse tramitado la portabilidad mediante el uso de sus datos identificativos por un tercero, sin correspondencia de voz ni verificación reforzada, así como el envío de la tarjeta SIM a una dirección distinta del domicil io, sin comprobaciones adi cionales, lo que habría facilitado la consumación del fraude. - Sostiene que la retención inj ustificada d e la g rabación durante meses, condicionando su entrega a la exi stencia de una orden j udicial, constituye una obstrucción al ejercicio del derecho de acceso y una vulneración de su derecho de defensa, al tratarse de una prueba esencial en un procedimiento penal por suplantación de identidad y solicita la incorporación de la prueba al expediente, que se valoren las deficiencias en m ateria de seguridad y control del tratamiento, y que se tenga en cuenta la respuesta extemporánea como un C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

3/7 incumplimiento grave de las obligaciones del responsable en materia de atención de derechos. Junto al escrito acompaña la siguiente documentación: - Documento sin fecha expresa (correspondiente a diciembre de 2024 por su contenido), que consta de la transcripción íntegra de varias conversaciones telefónicas mantenidas entre personal de Simyo / O range España Vi rtual, S.L.U. y una persona que solicita la portabilidad de una línea telefónica, en las que se recoge el proceso de contratación y validación de la portabilidad, incluyendo la identificación m ediante DNI, la confirmación del nombre y apellidos del t itular, la aceptación de condiciones contractuales, el otorgamiento del consentimiento para el tratamiento de datos, así como la ve rificación de la dirección de envío de la SIM. SEXT O: En fecha 25 de noviembre de 2025 se concedió a la parte reclamada trámite de audiencia, para que en el plazo de quince días hábiles presentase las alegaciones que estimara convenientes. SÉPTIMO: En fecha 1 1 de diciembre de 2025 la parte reclamada presenta escrito de alegaciones en el que reitera que la información solicitada por esta Agencia fue remitida el 24/ 1 1/202 5, dando íntegro cumplimiento a lo requerido en el primer traslado, extremo que afirma quedar acreditado mediante el justificante de presentación y el escrito de respuesta al requerimient o de información, señalando que el derecho de acceso había quedado plenamente satisfecho. FUNDAMENT OS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 Reglamento General de Protección de Datos (en adelante, RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la LOPDGDD, es competente para resolver este pr ocedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, po r las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Cuestiones previas De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, ent re ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratam iento acerca de las C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

4/7 obligaciones que les incumben, así como tratar las reclamaciones pr esentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas. Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus f unciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el ar tículo 39 del RGPD atribuye a ést e la función de cooperar con dicha autoridad. De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con car ácter previo a la admisión a trámite de la r eclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida. El resultado de dicho traslado no permitió entender satisfechas las pret ensiones d e la parte reclamante. En co nsecuencia, con fecha 7 de noviembre de 2025, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apert ura del presente procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual: “Cuando el procedimiento se refiera exclusivamente a la f alta de atención de una solicitud de ejercicio de los derechos establecidos en l os artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consej o, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contar d esde la fecha en qu e hubi era sido no tificado al reclamante el acuerdo de admisión a trámite. T ranscurrido ese plazo, el interesado podrá considerar estimada su reclamación”. El artículo 58.2 del RGPD confiere a la AEPD una se rie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye “ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del RGPD”. III Derechos de las personas en materia de protección de datos personales Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LO PDGDD. Se contemplan los derechos de acceso, rectificación, supresi ón, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. Los aspectos formales relativos al ejercicio de esos derechos se est ablecen en los artículos 12 del RGPD y 12 de la LOPDGDD. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

5/7 Se tiene en cuenta, además, lo expresado en los Considerandos 59 y ss. del RGPD. De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gr atuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado. La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en f orma concisa, t ransparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. IV Derecho de acceso Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la LOPDGDD, "el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se e stán tratando o no datos personales que le conciernen y, en t al caso, derecho de acceso a los datos personales". T ratándose del derecho de acceso a los dat os personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el respon sable podrá solicitar al afectado que especifique los "datos o actividades de tratamiento a los que se refiere la solicitud". El derecho se ent enderá otorgado si el responsable facilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los extremos previstos en el art ículo 15 del RGPD). El ejercicio de este derecho se podrá considerar repetitivo si se eje rce en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello. Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, qu e deberá ser asumido por el afectado. Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la p osibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorías de dat os personales de que se trate, los destinatarios o categorías de dest inatarios a l os que podrán comunicarse los datos, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un tercer país o a una organización internacional. La posibilidad de C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

6/7 obtener copia de los datos personales objeto de tratamiento no afectará negativamente a los derechos y libertades de otros. V Conclusión En el supuesto aquí analizado, según consta en la reclamación, en fecha 20/12/2024, el reclamante ejercitó frente a ORANGE ESP AÑA VIRTUA L, S.L. (SIMYO) el derecho de acceso, interesando la obtención de una copia de la grabación de voz correspondiente al proceso de portabilidad realizado el 18/12/2024, mediante el cual la línea telefónica ***TELÉFONO.1 fue transferida desde MásMóvil a Simyo, actuación que el reclamante afirmó haberse efectuado sin su consentimiento. Frente a dicha solicitud, la entidad reclamada rem itió al reclamante, en fecha 31/01/2025, una respuesta denegatoria, condicionando la entrega de la grabación solicitada a la existencia de una orden o requerimiento judicial. Efectuado el correspondiente traslado de la reclamación a la parte reclamada en f echa 21/10/2025, la entidad remitió a la AEPD escrito de respuesta en fecha 24/1 1/2025, en el que manifestó que, tras r evisar las circunstancias y confirmar la legitimidad del ejercicio del derecho, había p rocedido a remitir al reclamante en esa misma fecha las grabaciones solicitadas, acompañando documentación acreditativa de dicho envío. Por su parte, el reclamante presentó escrito poniendo de manifiesto un hecho sustancial sobrevenido, consistente en la efectiva entrega de la grabación casi un año después d e la solicitud inici al, aportando la transcripción y el ar chivo de audio de la llamada de portabilidad. En el presente caso, si bien la entidad reclamada finalmente atendió el derecho de acceso, lo hizo el 24/1 1/2025, esto es, casi on ce meses después de la solicitud inicial formulada el 20/12/2024, y únicamente tras la intervención de esta Agencia, lo que evidencia que el derecho no fue atendido en plazo. En consecuencia, procede estimar formalmente la recl amación, al haberse producido una respuesta extemporánea, conforme a la doctrina reiterada de esta Agencia en supuestos de atención tardía de los derechos reconocidos en el RGPD. El reclamante interesa, además, que se valoren las presuntas deficiencias en las medidas de seguridad aplicadas por la ent idad reclamada y que se proceda a la imposición de sanciones. No obstante, debe recordarse que el presente procedimiento se tramita al amparo de lo dispuesto en el artículo 64. 1 de la LOPDGDD, referido exclusivamente a la falta de atención de los derechos de los interesados, teniendo por objeto ve rificar si el responsable ha atendido, o no, el ejercicio del derecho y, en su caso, ordenar su cumplimiento. La valoración de posibles infracciones materiales del RGPD, así como la eventual imposición de sanciones, no forma parte del objeto de este procedimiento, sin perjuicio de que l os hechos puestos de manifiesto puedan ser analizados en el marco de otros procedimientos distintos, en caso de apreciarse indicios suficientes. En con secuencia, no procede acceder a la solicitud de imposición de sanciones ni a la valoración de las medidas de seguridad en el marco del presente expediente. C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es

7/7 Por consiguiente, considerando que el presente procedimiento tiene como objeto garantizar que los derechos del afectado queden d ebidamente restaurados y atendidos, y habiéndose acreditado que la ent idad r eclamada ha dado finalmente respuesta al ejercicio del derecho, aunque de forma extemporánea, procede estimar por motivos formales la p resente reclamación, sin que resulte necesaria l a realización de actuaciones adicionales por parte del responsable del tratamiento en orden a emitir una nueva comunicación sobre la atención del derecho ejercitado. Vi stos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUEL VE: PRIMERO: ESTIMAR por motivos formales la reclamación formulada por A.A.A. frente a la entidad ORANGE ESP AÑA VIR TUAL, S.L. con CIF.: B85057974 (SIMYO). No procede la emisión de nueva certificación por parte de la parte reclamada, al haberse emitido la respuesta extemporáneamente, sin que se requiera la realización de actuaciones adicionales por parte del responsable. SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a la entidad ORANGE ESP AÑA VIRTU AL, S.L. (SIMYO). De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicaci ón se realizará una vez se haya notificado a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LP ACAP, los interesados podrán interponer, potestativamente, recurso de repo sición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un m es a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el ar t ículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos C/ Jorge Juan, 6 www.aepd.es 28001 – Madrid sedeaepd.gob.es