LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 16:50:47

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

“Supercookies” Movistar y la última resolución de la AEPD

socia de IT & Privacy de ECIJA

La pasada semana saltaba la noticia, Movistar había sido sancionada por la AEPD con 20.000 euros por la utilización de “supercookies” en los dispositivos de sus clientes, pero …. ¿ante qué nos encontramos exactamente?

Palabra cookies

El origen del expediente de la AEPD que da lugar a la sanción de 20.000 euros comentada se encuentra en la denuncia que un usuario presenta en septiembre de 2015, y en la que declaraba que Telefónica de España – Movistar utiliza "supercookies" en el acceso a Internet utilizando terminales móviles, sin informar debidamente al usuario y sin que este preste su consentimiento, resultando un incumplimiento de lo previsto en el art. 22.2 de la LSSI.

Pero, ¿qué son las "supercookies" utilizadas? En este caso, cuando se habla de supercookies, nos referimos a una técnica de enriquecimiento de cabeceras en la navegación por Internet y que, como la propia Movistar reconoce en las actuaciones llevadas a cabo por la AEPD, es utilizada por la compañía para permitir la identificación del usuario en la implementación de servicios Premium y de facturación.

En concreto, Movistar describe el enriquecimiento de cabeceras llevado a cabo, como "una funcionalidad utilizada únicamente en el protocolo http que permite añadir meta-información a las peticiones de acceso a una página web concreta que se procesan desde el terminal del cliente hasta el servidor final … algunos de los datos están definidos por el protocolo como información necesaria para establecer la comunicación, "x-up-subno""TMuser-id" son los introducidos por Telefónica como información necesaria para que Telefónica identifique al usuario y pueda gestionar las suscripciones a productos Premium…. Los servicios Premium a los que se puede acceder a través de la navegación móvil son actualmente Emoción y Pagos Movistar … La introducción de los datos "x-up-subno""TMuser-id" son necesarios para que Telefónica pueda facturar los servicios contratados por el cliente a través de estas plataformas".

El artículo 22.2 de la LSSI establece expresamente que; "Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre , de protección de datos de carácter personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario."

Así, en el presente caso y a lo largo del procedimiento de la AEPD, Movistar vino alegando que se trataba de un sistema que resulta estrictamente necesario para la prestación de un servicio que ha sido expresamente solicitado por el usuario, por lo que no existía una vulneración de lo establecido en el art. 22.2 al tratarse de un supuesto exceptuado a la información y consentimiento requeridos en el citado artículo.

A pesar las alegaciones realizadas por Movistar en relación a que se trata de una situación excepcionada al tratarse de un tratamiento técnico necesario, en el presente caso se da una circunstancia adicional que sin duda ha sido tenida en cuenta por la AEPD a la hora de imponer la sanción, y es que esta funcionalidad constaba implantada en los sistemas de Movistar realizando el enriquecimiento de cabeceras de todos sus clientes que contarán con dispositivos que tienen configurado el APN telefónica.es, desde el año 2012, independientemente de que los citados usuarios solicitarán la prestación de los servicios indicados. No es hasta el año 2015 (a lo largo del proceso que da lugar a la sanción) cuando Movistar no limita la implantación de dicho enriquecimiento de cabeceras, al momento en que un usuario solicita expresamente alguno de los Servicios Premium, cumpliendo entonces con la legitimidad de que se trata de un tratamiento técnico necesario para la prestación y facturación de un servicio expresamente solicitado por el usuario.

En este supuesto, como viene siendo habitual en los últimos tiempos por parte de la AEPD, se tiene especialmente en cuenta la actividad y el volumen de datos tratados habitualmente por la compañía, en la exigencia de un especial deber de cuidado y de cumplimiento de la normativa de protección de datos personales.

¿Quiere ver la resolución?

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.