Estos días ha sido noticia la sanción impuesta a Telefónica Móviles España por el uso de las llamadas «super cookies». Algunos compañeros como Samuel Parra ya han escrito artículos sobre la sanción, pero a la vista de las preguntas que continúan apareciendo, resulta claro que aún existen algunas dudas sobre las características del caso.
Objeto de la sanción
El primer paso es analizar cuál ha sido el motivo concreto por el cuál se ha sancionado finalmente a Telefónica Móviles España. De acuerdo con el texto de la Resolución de la Agencia Española de Protección de Datos
IMPONER a la entidad TELEFONICA MOVILES ESPAÑA, S.A.U., por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4 g) de la LSSI, una multa de 20.000 € ( veinte mil euros) de conformidad con lo establecido en los artículos 39 y 40 de la citada LSSI
Esta infracción se basa en la introducción de un número único en la cabecera HTTP, respecto al cual únicamente Telefónica conoce a qué usuario de su red se encuentra asociado, y cuya introducción ésta estimó necesaria para la gestión de suscripciones, prestación y facturación de servicios Premium.
Podemos encontrar una definición del mecanismo de enriquecimiento de cabeceras utilizado en la misma Resolución
El enriquecimiento de cabeceras es una funcionalidad utilizada únicamente en el protocolo HTTP que permite añadir meta-información a las peticiones acceso a una página web concreta que se progresan desde el terminal del cliente hasta el servidor final
El problema surge cuando se advierte que dicho identificador era incluido en la cabecera de todos los usuarios y en toda petición HTTP, hecho que intentó justificarse con la necesidad de poder iniciar la prestación de estos servicios a cualquier usuario desde el momento mismo de su contratación, sin necesidad de esperar a la identificación del cliente por parte de Telefónica por otros medios que implicaría diferir la prestación del servicio en el tiempo.
La Resolución también menciona como el servicio técnico hablo de este mecanismo en un sitio web perteneciente a Movistar
Tras realizar la consulta, nos confirman que Movistar utiliza el “enriquecimiento de cabeceras” para un número limitado de servicios con los que existen acuerdos comerciales y a los que el usuario está suscrito, como servicios de suscripción Premium, pagos movistar, etc. donde es necesario facilitar una identificación del cliente para poder prestar el servicio.
En ningún caso, a partir de esos datos, Movistar proporciona información personal ni se utiliza para crear perfiles de navegación ni rastrear el comportamiento del cliente en Internet
En el caso concreto que ha sancionado la Agencia Española de Protección de Datos (AEPD), Movistar estaba añadiendo dos cabeceras extra en cada comunicación, identificadas como “x-up-subno” y “TM user-id”, con el objetivo de “sostener el modelo de negocio de contenidos Premium”. Esto es, según se desprende de la resolución sancionadora, para facilitar la suscripción a servicios Premium desde el terminal móvil (por ejemplo a sevicios SMS Premium) Movistar enviaba, de forma indiscriminada y a todas las páginas webs que sus clientes visitaran, determinada información específica e identificativa de su cliente para que Movistar pudiera facturar los servicios contratados por su cliente a la plataforma del tercero que presta el servicio premium.
Pese a lo que menciona en la alegación, un enriquecimiento de cabeceras generalizado como el utilizado suponía un riesgo para la privacidad mayor que el alegado por el técnico.
Las permacookies e identificadores
Un aspecto que no ha sido tratado más en profundidad se encuentra en las alegaciones de Telefónica
Para que esta técnica se considera como supercookie es necesario que los datos tratados a través de la misma sean almacenados mediante un DARD y que los mismos sean utilizados por la entidad responsable de su instalación, componente que no ha sido acreditado.
La referencia a los DARD (Dispositivos de Almacenamiento y Recuperación de Datos) proviene del tenor literal del Art. 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), que aparece en la Resolución del procedimiento sancionador
Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Además, es cierto que el último párrafo del art. 22.2 LSSI contempla una excepción para estos requisitos
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
Alegando que no nos encontrábamos ante un DARD, y que se trataba de información estrictamente necesaria para prestar el servicio en su opinión, Telefónica Móviles intenta dar a entender que no se produce el uso prohibido por el Art. 22
La Resolución rechaza la posibilidad de invocar la excepción contemplada en el Art. 22.2 LSSI por la inyección generalizada de la cabecera en todos los usuarios del APN, lo cual suponía la aplicación de los requisitos de información para dicho uso que la Ley establece.
Por tanto, no siempre se podían considerar dispositivos de carácter técnico para los que la norma prevé la dispensa de la información al usuario de acuerdo con el último párrafo del art. 22.2 LSSI, o dicho de otro modo, para aquellos usuarios que no utilizaran los servicios Premium, no era de aplicación la exención que prevé la norma y por tanto se hacía necesario el cumplimiento del deber de información.
Esto nos lleva a las siguientes conclusiones sobre el presente caso
- La inyección de cabeceras no se realizaba en el dispositivo del usuario (podrían haber intentado realizar esta función a través de una modificación del firmware instalado por la operadora, por ejemplo). Esto supone que el usuario no tenía un control directo sobre dicha inyección, y que la configuración del dispositivo no permitiría evitarlo.
- Se utilizaba indistintamente para todos los usuarios, sin importar el tipo de servicios a los que se accedía.
- La inyección se producía en todos los terminales que navegaran utilizando el APN telefónica.es, realizándose la identificación de navegación a través de la inyección de las cabeceras “x-up-subno” y “TM_user_ID” desde la red
- La inyección se realizaba de forma transparente para el usuario, sin que Telefónica Móviles facilitase al usuario la información necesaria al respecto, ni recabara su consentimiento para este uso.
- Dado que dicha identificación se incluía en las peticiones HTTP, cualquier tercero podía acceder a la misma, creando potencialmente la posibilidad de seguimiento de un usuario durante su navegación. Ajustes como «Do Not Track» no resultarían efectivos.
- El tercero no podría acceder (en el caso concreto de Telefónica Móviles) a la identificación completa del usuario más alla del Id que las cabeceras facilitan.
Como nos indica el informe «Header Enrichment or ISP Enrichment? Emerging Privacy Threats in Mobile Networks«, el caso de Movistar no es único, habiendo detectado cabeceras en otros operadores que podían vulnerar la privacidad de sus usuarios.
En el caso de Vodacom, resulta llamativo que el informe detectó que se producía una filtración del número de teléfono, así como del IMEI del dispositivo utilizado.
Durante la investigación, sus autores también detectaron que otros operadores incluían cabeceras que facilitaban información sobre la red utilizada para acceder a los servicios
También resulta interesante el artículo de la EFF sobre el uso de perma-cookies por parte de Verizon: «Verizon Injecting Perma-Cookies to Track Mobile Customers, Bypassing Privacy Controls«. Este artículo habla sobre los riesgos de este tipo de cabeceras (traducción propia):
Esta herramienta de seguimiento, incluida en una cabecera HTTP denominada X-UIDH, es enviada cada vez que un usuario de Verizon visita una web sin cifrado desde un dispositivo móvil. Esto permite a terceros responsables de redes publicitarias y de webs crear un perfil profundo y permanente de los hábitos de navegación de usuarios sin su consentimiento.
Este artículo menciona otro aspecto importante respecto a este tipo de seguimiento
Al contrario de lo que sucede con una cookie, las cabeceras inyectadas por Verizon son casi invisibles para el usuario, y no pueden visualizarse o cambiarse desde la configuración del navegador utilizado en el dispositivo. Si un usuario elimina todas las cookies, la cabecera X-UIDH no cambia. Y lo que es peor, las redes de publicidad podrían asignar inmediatamente una nueva cookie vinculada a las cookies eliminadas, utilizando el valor permanente de X-UIDH.
Por lo tanto, difícilmente podemos hablar de que no existen riesgos asociados al uso de identificadores únicos como los utilizados por Telefónica Móviles España.
¿Se produce una recuperación de datos de los terminales de los usuarios?
Si volvemos de nuevo a la alegación de Telefónica respecto a la necesidad de encontrarnos ante un DARD para poder aplicar el Art. 22 LSSI, a primera vista podría parecer que no se produce una recuperación de información existente en el dispositivo y, por tanto, no resultaría aplicable este artículo. Esta inyección de cabeceras, distinta en su naturaleza a las cookies/supercookies como alega Telefónica (que sí que se instalan efectivamente en el equipo del usuario, al que después deben acceder para obtener la información) se realizaba a nivel de APN.
A mi parecer, sí que se produce una recuperación de datos existentes en los terminales de los usuarios y, por lo tanto, es correcto el rechazo de esta alegación, y todo ello por la necesidad de contar con información adecuada antes de realizar la inyección de esta cabecera.
Dada la finalidad mencionada por Movistar, resulta claro que dicho identificador debía ser inequívoco y vinculado adecuadamente al usuario. Por lo tanto, se utilizaban los datos facilitados por el usuario al acceder a la Red para una nueva finalidad: la de asociar una cabecera inyectada en las peticiones HTTP al usuario.
Podría ahora alegarse que dichos datos son facilitados por el usuario de forma voluntaria, y que se utilizaban datos que ya eran utilizados antes de realizar dicha inyección, pero debemos recordar de nuevo el tenor literal del Art. 22 LSSI
después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos
Como ya hemos mencionado, la inyección de las cabeceras objeto de la Resolución se realizaba de forma transparente para el usuario, y sin que hubiera recibido información al respecto de las nuevas finalidades para las cuales se tratarían sus datos con carácter previo (no se trata ya de la identificación necesaria para la prestación de servicio que supone el acceso a la red). Por lo tanto, el uso de cualquier dato de identificación del usuario a partir del dispositivo utilizado, lo facilitara antes o no para acceder a la red, con el objetivo de crear una Base de Datos que permita asociarlo a estas cabeceras únicas no resultaba conforme con los requisitos de información del Art. 22 LSSI.
Lo mismo resultaría aplicable en el caso de que el prestador añadiera dichas cabeceras a la navegación de usuarios utilizando la huella de sus navegadores. Al final, la asociación de datos requiere un acceso a la información almacenada en los equipos terminales, lo cual no puede realizarse sin antes informar de ello a los usuarios.
En conclusión, no resultaba posible el funcionamiento de esta inyección de cabeceras sin el uso de información obrante en el equipo terminal del usuario, lo cual suponía la obligación de facilitar información clara al respecto con carácter previo.
