En diciembre de 2021, los medios de comunicación internacionales llamaron la atención de la FDPIC sobre las alegaciones de tratamiento ilegal de datos por parte de un empleado de la empresa Mitto AG, con sede en Zug. Una investigación preliminar no encontró pruebas de infracción de la normativa de protección de datos. La FDPIC ha concluido su investigación preliminar con un informe final, sin emitir ninguna recomendación.
En diciembre de 2021, a raíz de la cobertura mediática, el Comisario Federal de Protección de Datos e Información fue alertado por un artículo publicado por la Oficina de Periodismo de Investigación y Bloomberg News sobre las alegaciones de tratamiento ilegal de datos por parte de un empleado de la empresa Mitto AG, con sede en Zug. El artículo alegaba que el empleado en cuestión había abusado del acceso concedido por los operadores de telefonía móvil a sus redes para enviar mensajes de texto con el fin de obtener información para otros fines. En concreto, el empleado habría utilizado el acceso al sistema de señalización (SS7) para permitir la vigilancia no autorizada de personas a cambio de una remuneración.
La FDPIC exigió a Mitto AG información detallada en varias fases sobre las salvaguardias técnicas y organizativas existentes en la empresa. Mitto AG accedió a todas las peticiones de la FDPIC y llevó a cabo sus propias investigaciones externas, cuyos resultados fueron comunicados a la FDPIC.
Mitto AG presentó documentación sobre el marco organizativo de sus operaciones y describió las medidas establecidas para prevenir y detectar cambios no autorizados en el software. Según Mitto AG, los datos de registro no mostraban ninguna prueba que sugiriera que los sistemas habían sido objeto de abuso de la manera alegada.
Según Mitto AG, y confirmado por los operadores de telefonía móvil en Suiza, a los que también se invitó a comentar, es imposible que los empleados de Mitto AG accedan a los datos de localización de los destinatarios de SMS sin modificar los sistemas o el software.
La FDPIC ha llevado a cabo todas las inspecciones necesarias que le han sido posibles con los recursos de que dispone, pero no ha salido a la luz ninguna prueba que confirme que se haya producido una infracción de la normativa sobre protección de datos.
En vista de lo anterior, la FDPIC ha decidido concluir la investigación preliminar sobre Mitto AG sin formular recomendación alguna.
https://www.edoeb.admin.ch/edoeb/en/home/kurzmeldungen/nsb_mm.msg-id-93802.html