ISP española sancionada por el uso de tecnologías de huella digital

06 octubre 2016

Juan Calderon

Movistar, uno de los operadores de telefonía móvil e ISP más importantes de España, ha recibido la primera sanción en España por el uso de tecnologías de huella digital (las denomindas "fingerprinting technologies" o, en ocasiones, "super-cookies").

El enriquecimiento de cabeceras es un tipo de tecnología de huella digital usado por los operadores de telefonía móvil para incluir información adicional en el tráfico HTTP. En otras palabras, los operadores de telefonía móvil añaden información personalizada a las peticiones HTTP, por ejemplo, para indicar el idioma en que el usuario navega y conseguir que, cuando acceda a la página web, la misma se encuentre en su idioma, o para indicar qué navegador concreto está utilizando el usuario. El enriquecimiento de cabeceras no constituye una cookie como tal, ya que no se instala en el dispositivo utilizado por el usuario final. Sin embargo, la información recogida a través del enriquecimiento de cabeceras es utilizada con frecuencia para identificar a un usuario específico y, en consecuencia, el uso de esta tecnología entra dentro del ámbito de aplicación de la legislación de protección de datos y comercio electrónico.

La problemática surgió en noviembre de 2015, cuando un usuario publicó una queja en el foro de la página web de Movistar. En su post, el usuario señalaba que había descubierto que la compañía estaba haciendo uso del enriquecimiento de cabeceras sin previo aviso y sin haber recabado el consentimiento previo de los usuarios. Después de varias semanas, las sospechas del usuario fueron confirmadas cuando Movistar publicó la respuesta: en efecto, Movistar había estado utilizando el enriquecimiento de cabeceras para la prestación de determinados servicios con algunos abonados, tales como los usuarios de servicios premium, pues el suministro de los mencionados servicios requiere la identificación del usuario. Debido a esta respuesta de Movistar, se presentó una denuncia ante la Agencia Española de Protección de Datos (AEPD).

Durante las actuaciones de investigación, Movistar declaró que utilizaba el enriquecimiento de cabeceras exclusivamente en los servicios prestados a abonados de servicios premium y sólo en la medida en que ello fuera necesario para prestarles los servicios solicitados. Sin embargo, más tarde Movistar reconoció a la AEPD que había estado utilizando este sistema de identificación de huella digital en los navegadores de sus clientes entre los años 2012 a 2015 y no sólo con usuarios premium, sino con todo tipo de abonados. Esta declaración dio lugar a un procedimiento sancionador.

La AEPD concluyó que:

  1. El enriquecimiento de cabecera está dentro del ámbito de aplicación de la Ley de Servicios de la Sociedad de la Información (la cual es el resultado de la transposición al ordenamiento español de la Directiva de Privacidad y Comunicaciones Electrónicas) por el hecho de que mediante esta técnica de huella digital se recoge información de los usuarios que permite identificarlos.
  2. Movistar no hizo uso del enriquecimiento de cabeceras con el objetivo de facilitar una transmisión a través de una red de comunicaciones, ni tampoco con el objetivo de suministrar al usuario un servicio de la sociedad de la información que el mismo hubiera solicitado, ya que el enriquecimiento de cabeceras fue utilizado con todo tipo de usuarios, incluso con usuarios que no tenían contratados servicios Premium, hasta septiembre de 2015. Por ello, en línea con la Directiva de Privacidad y Comunicaciones Electrónicas (y con la Ley de Servicios de la Sociedad de la Información), Movistar debería haber informado a sus usuarios del uso que estaba haciendo de esta tecnología y haberles facilitado a los mismos herramientas para oponerse a su uso.
  3. Debido a que Movistar no informó a los usuarios del uso de este tipo de tecnologías, ni tampoco les proporcionó posibilidad alguna de oponerse al uso de las mismas, incumplió la Ley de Servicios de la Sociedad de la Información y, en consecuencia, ha sido condenado al pago de una multa de 20.000 euros.

La sanción se ha hecho pública recientemente y podrá ser recurrida por Movistar.

Si quiere comprobar si está cumpliendo con la legislación española en materia de cookies, por favor contacte con nosotros y estaremos encantados de asesorarle.

Contactos

Juan Calderon

Juan Calderón

Associate
España

Llámeme al: +34 91 790 6000