La Agencia Española de Protección de Datos acaba de sancionar a Telefónica por la utilización de las llamadas “supercookies”.
Comentamos este tema aquí, porque la infracción podría haber sido cometida por cualquier empresa que utilice esta tecnología, sea grande o pequeña. Lo importante en este caso son las conclusiones a las que nos conduce.
Pero comencemos explicando este nuevo concepto de “Supercookie”. Cuando un usuario navega por Internet, en este caso era a través de un dispositivo móvil, se está produciendo una comunicación entre la página web a la que accede y el dispositivo del usuario. Estas comunicaciones pasan también por el proveedor de navegación en Internet (Internet Explorer, Firefox, Google Chrome etc.). En esas comunicaciones se incluyen lo que se conoce como “enriquecimiento de cabeceras” que son necesarias para que la comunicación se realice de forma correcta.
Los enriquecimiento de cabecera pueden tener distintas funcionalidades, pueden ser útiles para indicar el idioma que utiliza el usuario, para que la página web se abra en ese idioma, puede servir también para indicarle a la página a través de qué navegador estoy accediendo o si estoy navegando a través de un Smartphone o a través de un PC para que la web se nos muestre en su versión móvil o en su versión para PC. En especial se utilizan las cabeceras HTTP ya que al navegar tradicionalmente se viene haciendo uso de este protocolo.
A pesar de que la Agencia Española de Protección de Datos (AEPD) le dota del nombre de Supercookies, observamos que real y técnicamente hablando, no se trata de una cookie como tal, ya que como hemos explicado anteriormente en otros Post, las cookies ordinarias se almacena en nuestro PC o Smartphone, mientras que la Supercookie no. Pero el problema no reside en el uso de este instrumento, sino que el conflicto reside en que mediante las Supercookies sea posible identificar al usuario y que éste además sea conocedor de que se está utilizando esta tecnología y la consienta.
Ahora la cuestión es, ¿Por qué Telefónica Movistar España necesita utilizar Supercookies para transmitir información de sus usuarios?
Como Movistar es el proveedor de acceso a Internet de sus clientes, tiene la capacidad de añadir, modificar, eliminar estas cabeceras sin que el usuario sea consciente de ello. Por ejemplo, Movistar puede añadir una cabecera que le indique a la página web a la que accedemos, que somos de un determinado país o barrio o incluso informar de nuestro número de teléfono a través de una codificación.
Obviamente Movistar tenía sus razones para el uso de este instrumento y por ello argumentó ante la AEPD que el uso de Supercookies era para prestar un número limitado de servicios con los que existen acuerdos comerciales y a los que el usuario estaba suscrito (se refiere a los servicios de suscripción Premium) donde era necesario facilitar una identificación del cliente para poder prestar este tipo de servicios. Según las citadas alegaciones Movistar defendió que en ningún caso se proporcionaba información personal ni se utilizaba para crear perfiles de navegación ni rastrear el comportamiento del cliente; simplemente eran necesarias para ofrecer ciertos servicios de pago.
Pero para la AEPD no fue un argumento suficientemente convincente, ya que tras la investigación, la AEPD constató que Movistar enviaba determinada información específica e identificativa, de forma indiscriminada y a todas las páginas a las que los clientes accedían con el objetivo de que Movistar pudiera facturar los servicios contratados por sus clientes a las plataformas del tercero que presta tal servicio Premium.
Y si bien la sanción no afecta a los datos personales, la Agencia Española de Protección de Datos que es igualmente competente para la aplicación de determinados preceptos de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico ha impuesto sanción basándose en este cuerpo legal. La AEPD apreció una infracción por usar los enriquecimientos de cabecera de forma generalizada en todas las comunicaciones, sin informar al usuario y además sin que se haya prestado el consentimiento para ello. Es más, la AEPD especificó que las cabeceras deberían de activarse solo cuando el usuario va a iniciar la contratación de uno de los servicios Premium y no en todas las comunicaciones como se venía haciendo.
Finalmente la AEPD encajó este supuesto en una infracción prevista en el artículo 38.4.g de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) que considera infracción leve el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecida en el apartado 2 del artículo 22, cuando no constituya una infracción grave, con imposición de multa de 20.000 euros de conformidad con los artículo 39 y 40 de la citada LSSI.
Como conclusión y recomendación:
Paz Martín
