BAQUIA

Movistar, primera teleco sancionada por utilizar ‘supercookies’ con sus clientes

Es la primera vez que la Agencia Española de Protección de Datos (AEPD) sanciona por una práctica como ésta, la de los encabezamientos enriquecidos, enmarcado en la resolución como ‘supercookie’, a un operador.

Movistar lleva a sus clientes la conexión simétrica

La resolución de la AEPD publicada recientemente castiga a Telefónica Movistar a abonar una multa de 20.000 euros por haber mantenido activo en todos sus clientes y para toda navegación que realizaran desde sus terminales móviles, una práctica denominada “enriquecimiento de cabeceras” que el organismo oficial identifica como “supercookie”, y que actúa como identificador único que se envía en las cabeceras de navegación a cualquier página web que el cliente visitara.

Tal y como explica en una publicación en su blog el abogado especializado en privacidad y derechos digitales, Samuel Parra, “esto permitía la identificación técnica del cliente durante la navegación tanto para Movistar como para la web de destino”. Por ello, y tras la denuncia de un usuario particular que ya recusó a la compañía sobre esta práctica, la AEPD ha impuesto una multa de 20.000 euros al operador de telecomunicaciones por no informar ni obtener el consentimiento de sus clientes para realizar esta actividad.

Aunque el concepto de “enriquecimiento de cabeceras” es distinto al de las cookies, que almacenan información del usuario para trackear sus hábitos de navegación. En el caso de las supercookies o ‘cookies zombies’, grupo en el que la AEPD enmarca la denuncia a Movistar, hacen lo mismo pero sin solicitar el consentimiento del usuario, sí se ha podido sancionar esta práctica por la cual “Movistar inyectaba un código directamente en la comunicación entre el usuario y un tercero sin que el usuario pudiera controlarlo, ya que al no pasar por el ordenador éste no tenía forma de enterarse a no ser que fuera espiando el tráfico que recibe la web de destino”, explica Parra en declaraciones a Baquía.

Esto es exactamente lo que hizo el cliente de Movistar denunciante por medio de la página “amibeingtracked.com” y posteriormente comunicó a la compañía a través de su foro de ‘atención al cliente’ en agosto de 2015.

Movistar utiliza las llamadas “super-cookies” (no son técnicamente cookies ya que no se almacenan en mi dispositivo) añadiendo un header identificador cuando accedo a una página web desde mi terminal con conexión 3G. Confirmado mediante la página ‘amibeingtracked.com’.
Concretamente utiliza “x-up-subno”, que además podría filtrar mi número de teléfono a las webs que visito.
Todo esto sin haber sido informado ni prestar consentimiento.

Una acusación a la que se sumaron otros afectados y que el departamento tardó casi un mes en abordar para reconocer que “tras realizar la consulta, nos confirman que Movistar utiliza el ‘enriquecimiento de cabeceras’ para un número limitado de servicios con los que existen acuerdos comerciales y a los que el usuario está suscrito, como servicios de suscripción Premium, pagos Movistar, etc. donde es necesario facilitar una identificación del cliente para poder prestar el servicio. En ningún caso, a partir de esos datos, Movistar proporciona información personal ni se utiliza para crear perfiles de navegación ni rastrear el comportamiento del cliente en internet.. :smileywink:“.

Telefónica manifestó en la solicitud de información que inició la AEPD durante el proceso de investigación de la denuncia que el propósito de dicha técnica es permitir la implementación de servicios Premium y de facturación. “El enriquecimiento de cabeceras es una funcionalidad utilizada únicamente en el protocolo HTTP que permite añadir meta-información a las peticiones acceso a una página web concreta que se progresan desde el terminal del cliente hasta el servidor final”, sin embargo el problema reside en que esta ‘funcionalidad’ era implementada sin solicitud o consentimiento previo de los usuarios.

“Movistar, al ser el proveedor de acceso a Internet de sus propios clientes, puede alterar esas cabeceras y añadir información extra sin que el usuario se de cuenta. Es decir, si Movistar quisiera, en cada comunicación que realizan sus clientes para conectarse a una página web, podría añadir una cabecera extra adicional, por ejemplo, para informar a la página web de destino que el visitante es de un determinado barrio de la ciudad”, explica el abogado Samuel Parra.

El beneficio de las teleco

“La ventaja principal y cien por cien segura es facilitar que el usuario que navega pueda contratar servicios Premium con un solo clic. Si no se utilizasen esas ‘cabeceras enriquecidas’ harían falta mas pasos intermedios para que los usuarios pudieran contratar. Al igual que Amazon tienes el compra con un clic, técnicamente para que algo así suceda cuando navegas por internet, el operador tiene que enviar algo que dé cierta información: este usuario es cliente mío, tiene este identificador, si le quieres cobrar el servicio sabes que tienes que hacerlo a este identificador único de Movistar. Sin esa transferencia de información entre Movistar y el prestador de servicios Premium haría falta algo como una página de registro, por ejemplo”, continúa Parra.

En aras de agilizar esos trámites de suscripción, por los que los operadores de telecomunicaciones se llevan un porcentaje de beneficio, se decide beneficiar al gestor de esos servicios Premium Movistar facilitándole esta especie de información ‘by default’.

A la hora de la verdad, este tipo de prácticas lo que deja es la puerta abierta a la suscripción automática a servicios Premium, independientemente de si el usuario quiere o no contratarlos, y que en algunos casos le convierten en víctima de un fraude al cobrársele por uno servicios que no ha solicitado voluntariamente pero que el gestor ha sido capaz de ‘autosuscribir’ gracias a haber extraído la información que este tipo de ‘cabeceras’ dejan al descubierto sin consentimiento ni conocimiento del usuario. Sin esa transferencia de información que permite el operador al implementar estas herramientas, no sería posible que terceros obtuvieran, o al menos tan abiertamente, los datos identificativos necesarios para cargar realizar estas ‘autosuscripciones’ que cada día se cobran numerosas de víctimas.

 

Leyes restrictivas, multas irrisorias

Actualmente, existen órganos que controlan que este tipo de practicas negligentes no se sucedan en la red, como por ejemplo la Comisión Nacional del Mercado de Valores (que actualmente integra a la previa Comisión del Mercado de las Telecomunicaciones) y que se encarga de velar para que los operadores de servicios Premium que se dan de alta en el sistema –es obligatorio que se registren en la CNMV— cumplan una serie de requisitos, legales y éticos, que tiene que respetar.

“Lógicamente si se llevan una comisión, a los operadores les interesa facilitar la máximo que la gente se suscriba porque son más ingresos para ellos”.

Posteriormente son los operadores de telefonía los que asignan un número de teléfono para las llamadas o números cortos para los SMS, y de cuyos servicios los operadores se llevan su parte de comisión por facilitar la infraestructura necesaria para el servicio. “Lógicamente si se llevan una comisión, a los operadores les interesa facilitar la máximo que la gente se suscriba porque son más ingresos para ellos”, apunta Parra.

La relevancia de este caso reside en que, aunque Movistar no es ni mucho menos la única gran compañía que posibilita estas prácticas, sí que ha sido la primera en quedar oficialmente demostrado mediante una resolución administrativa. Y todo apunta a que Movistar, que ya enmendó su infracción al comunicársele la denuncia, va acatar el pago de la multa de 20.000 euros ya que “no consta ni que los hayan recurrido porque tenían un mes y ya debería constar el recurso”.

Lo más seguro es que no la hayan recurrido porque les costaría más caro pagar a abogados y procuradores que limitarse a pagar la multa.

La cantidad de penalización puede sonar quasi irrisoria para un gigante como Telefónica Movistar que factura miles de millones de euros al mes, pero es la horquilla de sanciones que en estos momentos contempla la AEPD: hasta un máximo de 30.000 euros para infracciones leves, como ha sido considerada esta. Es más, al monto final se le ha aplicado una reducción como atenuante porque durante el curso del procedimiento de la investigación la compañía corrigió esta práctica.

Hasta ahora las sanciones por ley no hacen diferencia entre un Movistar o un particular.

De hecho, si mañana se descubriese que Movistar sigue con esta práctica de ‘cabeceras enriquecidas’ incurriría ya en una sanción grave por reincidir, pero aún así la multa más alta que le podrían poner por reincidir sería de 300.000 euros, que sigue sin ser una cuantía demasiado elevada para una corporación así.

“Movistar es sancionada cerca un centenar de veces al año por infracciones de la ley de protección de datos, pero como son multas tan pequeñas no suponen gran perjuicio”. Sin embargo, “la nueva legislación europea en materia de protección de consumidores y derechos digitales, como por ejemplo para cuestiones de protección de datos, va a contemplar que la cuantía de las multas sea un porcentaje del volumen de facturación del ejercicio anterior”, adelanta el abogado, lo cual implanta un marco legislativo más equitativo y que realmente puede suponer una constricción frente a las prácticas abusivas de las grande corporaciones.

 


Compartir en :


Noticias relacionadas




Comentarios