La Agencia de Protección de Datos sanciona por el uso de “supercookies”

Una reciente resolución de la AEPD vuelve a insistir en el deber de informar y de recabar el consentimiento cuando se utiliza tecnología...

La Agencia Española de Protección de Datos acaba de sancionar a Telefónica por la utilización de las llamadas “supercookies”.

Comentamos este tema aquí, porque la infracción podría haber sido cometida por cualquier empresa que utilice esta tecnología, sea grande o pequeña. Lo importante en este caso son las conclusiones a las que nos conduce.

Pero comencemos explicando este nuevo concepto de “Supercookie”. Cuando un usuario navega por Internet, en este caso era a través de un dispositivo móvil, se está produciendo una comunicación entre la página web a la que accede y el dispositivo del usuario. Estas comunicaciones pasan también por el proveedor de navegación en Internet (Internet Explorer, Firefox, Google Chrome etc.). En esas comunicaciones se incluyen lo que se conoce como “enriquecimiento de cabeceras”  que son necesarias para que la comunicación se realice de forma correcta.

Los enriquecimiento de cabecera pueden tener distintas funcionalidades, pueden ser útiles para indicar el idioma que utiliza el usuario, para que la página web se abra en ese idioma, puede servir también para indicarle a la página a través de qué navegador estoy accediendo o si estoy navegando a través de un Smartphone o a través de un PC  para que la web se nos muestre en su versión móvil o en su versión para PC. En especial se utilizan las cabeceras HTTP ya que al navegar  tradicionalmente se viene haciendo uso de este protocolo.

A pesar de que la Agencia Española de Protección de Datos (AEPD) le dota del nombre de Supercookies, observamos que real y técnicamente hablando, no se trata de una cookie como tal, ya que como hemos explicado anteriormente en otros Post, las cookies ordinarias se almacena en nuestro PC o Smartphone, mientras que la Supercookie no. Pero el problema no reside en el uso de este instrumento, sino que el conflicto reside en que mediante las Supercookies sea posible identificar al usuario y que éste además sea conocedor de que se está utilizando esta tecnología y la consienta.

Ahora la cuestión es, ¿Por qué Telefónica Movistar España necesita utilizar Supercookies para transmitir información de sus usuarios?

Como Movistar es el proveedor de acceso a Internet de sus clientes, tiene la capacidad de añadir, modificar, eliminar estas cabeceras sin que el usuario sea consciente de ello. Por ejemplo, Movistar puede añadir una cabecera que le indique a la página web a la que accedemos, que somos de un determinado país o barrio o incluso informar de nuestro número de teléfono a través de una codificación.

Obviamente Movistar tenía sus razones para el uso de este instrumento y por ello argumentó ante la AEPD que el uso de Supercookies era para prestar un número limitado de servicios con los que existen acuerdos comerciales y a los que el usuario estaba suscrito (se refiere a los servicios de suscripción Premium) donde era necesario facilitar una identificación del cliente para poder prestar este tipo de servicios. Según las citadas alegaciones Movistar defendió que en ningún caso se proporcionaba información personal ni se utilizaba para crear perfiles de navegación ni rastrear el comportamiento del cliente; simplemente eran necesarias para ofrecer ciertos servicios de pago.

Pero para la AEPD no fue un argumento suficientemente convincente, ya que tras la investigación, la AEPD constató que Movistar enviaba determinada información específica e identificativa,  de forma indiscriminada y a todas las páginas a las que los clientes accedían con el objetivo de que Movistar pudiera facturar los servicios contratados por sus clientes a las plataformas del tercero que presta tal servicio Premium.

Y si bien la sanción no afecta a los datos personales, la Agencia Española de Protección de Datos que es igualmente competente para la aplicación de determinados preceptos de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico ha impuesto sanción basándose en este cuerpo legal. La AEPD apreció una infracción por usar los enriquecimientos de cabecera de forma generalizada en todas las comunicaciones, sin informar al usuario y además sin que se haya prestado el consentimiento para ello. Es más, la AEPD especificó que las cabeceras deberían de activarse solo cuando el usuario va a iniciar la contratación de uno de los servicios Premium y no en todas las comunicaciones como se venía haciendo.

Finalmente la AEPD encajó este supuesto en una infracción prevista en el artículo 38.4.g de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) que considera infracción leve el incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecida en el apartado 2 del artículo 22, cuando no constituya una infracción grave, con imposición de multa de 20.000 euros de conformidad con los artículo 39 y 40 de la citada LSSI.

Como conclusión y recomendación:

  • Cualquier tecnología de almacenamiento de información del usuario debe ser conocida por el usuario a través de mecanismos de información tales como avisos legales, cláusulas etc. Ya estamos acostumbrados a los famosos “pop ups” de los avisos de las cookies.
  • Mediante dicha información, el usuario podrá consentir o no el uso de la citada tecnología.

Conoce nuestros servicios en
Protección de Datos y Derecho Digital

H&A

H&A

Contenidos relacionados

Más en derecho de las TIC

Comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable del tratamiento: HERRERO & ASOCIADOS, S.L.

Finalidad del tratamiento: Publicar su comentario sobre la noticia indicada.

Derechos de los interesados: Puede ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, mediante un escrito, acompañado de copia de documento que le identifique dirigiéndose al correo dpo@herrero.es.

Para más información visita nuestra Política de Privacidad.

*Los campos marcados con el asterisco son obligatorios. En caso de no cumplimentarlos no podremos contestar tu consulta.

No hay comentarios