¡Hola, malditas y malditos! Esta semana nos habéis llenado de preguntas legales: ¿es legal que me exijan aportar mis datos biométricos para según qué contratos? ¿Y que aparezca nuestro DNI publicado en Internet? Hemos preguntado a abogadas especializadas en protección de datos y nos lo han dejado todo bastante claro, así que vamos a ello.
Podéis seguir mandándonos vuestras preguntas y cada martes veréis algunas resueltas: hacedlo a través de Twitter o Facebook, del correo electrónico [email protected] o escribiéndolas en este formulario.
¿Qué sabemos sobre que una empresa pida datos biométricos para contratar un servicio, como ha empezado a hacer Movistar con las tarjetas prepago?
Hay una nueva norma en Movistar a la hora de contratar tarjetas prepago: si te la llevas a casa y la activas por tu cuenta, deberás subir una foto de tu DNI y otra de tu cara que sirva para identificarte. ¿Esta cesión de datos biométricos es necesaria? ¿Y legal?
Desde el 15 de diciembre, Movistar tiene disponible un servicio de “autoactivación de tarjetas SIM de prepago”. Esto significa que ahora permiten que actives tú la tarjeta SIM por tu cuenta o incluso se la des a otra persona en vez de activarla en la tienda y en presencia de un comercial.
Para saltarse el paso de activación en la tienda y hacerlo por nuestra cuenta, la empresa pide registrarse en un enlace de activación, que nada más entrar nos hace aceptar la Política de Privacidad de Movistar (sí, con una de esas casillas que prácticamente todo el mundo marca al segundo sin siquiera entrar en el documento).
Además piden que se suba una foto del DNI pero también una de nuestra cara para acreditar nuestra identidad. Desde Movistar indican que por ley están obligados a hacer esa autentificación si la activación del servicio no se hace de forma presencial con un comercial. De este modo, pueden asegurar la identidad de la persona que activa la SIM y evitar posibles fraudes.
Maite Sanz de Galdeano, abogada digital en Global Legal Data, nos explica que esa condición la tiene Movistar como operador de telecomunicaciones según Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Esta norma establece que deben retener determinados datos de sus clientes en caso de tener que entregarlos a las autoridades o a un juez.
Además, a nivel europeo entra en juego la Directiva (UE) 2015/2366 (conocida como PSD2), que exige a los proveedores una doble autenticación de sus clientes para evitar casos de fraude: “Este sistema exige al usuario combinar, al menos, dos elementos independientes para verificar su identidad. Puede ser que Movistar haya optado por esta vía de doble autenticación si la compra de la SIM se puede realizar también vía online”, señala Sanz de Galdeano.
Verónica Alarcón, abogada especializada en protección de datos en ePrivacidad, considera que esta medida es proporcional porque la empresa tiene “la obligación de identificar a quien adquiere la tarjeta” y una imagen del rostro que cotejar con el DNI es una manera de hacerlo si no se puede hacer presencialmente.
Esta medida a veces se sustituye con una grabación de llamada. Por ejemplo, si pides un préstamo bancario o contratas un paquete de películas en una operadora. En esos casos, las empresas suelen avisar en la propia llamada que se va a grabar al cliente mientras da su consentimiento del servicio. Esa llamada puede servir como prueba si ocurre algo más adelante (y estamos en nuestro derecho de obtener la grabación).
En julio de este año, la Agencia Española de Protección de Datos (AEPD) multó a Movistar (Telefónica) con un importe de 55.000€ por una denuncia que puso una persona cuya identidad fue suplantada para abrir tres líneas de teléfono. Tras poner una reclamación porque las facturas llegaban a su nombre, reclamó los hechos a la empresa, pero cuando los cobros siguieron llegando esta no quiso darle la grabación de la llamada. Al final la AEPD falló a favor de la denunciante.
Alarcón incide en que este tipo de cosas pasan cuando no se tienen suficientes pruebas para ligar la identidad real de un cliente a los datos que se dieron en el momento de la contratación. En el caso de las SIM prepago, pone como ejemplo la posibilidad de que alguien acuda a una tienda con un DNI robado: si la activa en casa, tendría que adjuntar una imagen de la persona titular además de la copia del DNI.
En Maldita Tecnología sí hemos detectado que con la activación de este nuevo servicio no se ha incluido ninguna referencia a la recogida de datos biométricos en la Política de Privacidad de Movistar, que fue actualizada por última vez en julio de 2020.
En ella se citan los datos que se obtienen directamente del cliente, como DNI, dirección postal, dirección de instalación, teléfonos fijo y móvil, correo electrónico, fecha de nacimiento, profesión y sector económico, datos de cuenta bancaria, usuario de redes sociales (si por ejemplo contactamos con la empresa por esa vía) e incluso cookies.
En este caso, para activar la tarjeta cedemos nuestros datos biométricos con una foto de nuestra cara y por tanto esta categoría debería estar incluida en el documento, pero por el momento no es así. Desde Movistar no nos han explicado por qué esto es así. La única referencia a esos datos aparece a la hora de activar el servicio, en la pantalla en la que tenemos que aceptar la Política de Privacidad:
Sanz de Galdeano asegura que aunque pidan el consentimiento para tratar nuestros datos biométricos, “debería explicarse con más detalle en la Política de Privacidad, máxime teniendo en cuenta que es un tratamiento novedoso y que es probable que genere sorpresa y dudas a los usuarios”. Esta abogada recuerda que incluir este tipo de tratamientos es obligatorio según el artículo 13 del Reglamento General de Protección de Datos europeo y el artículo 11 de la Ley Orgánica de Protección de Datos (LOPD).
¿Por qué las empresas siguen llamándome si estoy apuntada en la Lista Robinson?
Para los que no os suene la Lista Robinson, es un fichero al que nos podemos apuntar para que las empresas no nos contacten a nuestro correo o teléfono personal con ofertas comerciales. Hemos explicado cómo funciona la lista en este otro artículo, pero nos habéis preguntado también por qué, una vez apuntados, nos siguen llamando.
Lo primero que hay que tener en cuenta es que la acción no es inmediata. Las empresas no van a dejar de llamar el mismo día en el que me apunto a la lista porque el proceso lleva un tiempo: desde Adigital, la asociación que la fundó y que se ocupa de gestionarla, explican que la inscripción puede tardar hasta dos meses en ser plenamente efectiva.
Esto se debe a que si una empresa tiene una campaña comercial en curso y cuenta con tus datos de contacto para ella, podrá llamarte independientemente de que figures recientemente en la lista. Así que regla número uno: ser pacientes.
Regla número dos: estar pendientes de dónde introducimos nuestros datos personales. Puede que una empresa tenga tus datos de contacto porque te has apuntado a alguna suscripción o promoción que no tiene que ver con la empresa que te llama. Por ejemplo, muchas páginas publican sorteos que para participar nos piden nombre, correo electrónico, número de teléfono, etc. Otras piden los datos de contacto para informarnos sobre un producto súper novedoso. ¿Sabemos realmente lo que estamos firmando en esos casos? A veces los Términos y Condiciones de esas promociones esconden pequeñas trampas, como que vayan a compartir los datos que demos con terceros.
En estos casos entra en juego el concepto del consentimiento, del que os hemos hablado alguna que otra vez: las empresas se aprovechan de nuestros descuidos al leer sus políticas para usar y compartir nuestros datos para cosas que no contemplábamos en un principio. Una vez que hemos marcado la casilla de “Aceptar”, pueden usarlos (y compartirlos con otras empresas que estén interesadas en comprarlos).
Verónica Alarcón, abogada especializada en protección de datos, incide en Maldita Tecnología en este punto: “Es posible que te inscribas en la lista y posteriormente aceptes una contratación o suscripción vía aplicación, hayas dado el consentimiento y no te hayas dado cuenta. Si has dado tu consentimiento expreso después de inscribirte en la lista, tampoco funciona”.
En estos casos, podemos dirigirnos a las empresas individualmente y retirar el consentimiento, pero ya requiere un esfuerzo por parte de la persona afectada. La propia Lista Robinson tiene un apartado para comunicar a empresas específicas que queremos retirar nuestro consentimiento.
Otra cosa que se debería hacer y no suele pasar en este tipo de llamadas telefónicas es que las empresas nos den la opción de oponernos en la propia llamada a que nos llamen para vendernos la publicidad. Incluso en los casos que mencionamos antes, en los que nos toca marcar o no una casilla, recalca que no debe ir marcada por defecto. Muchas veces, mencionar que figuramos en la Lista Robinson es suficiente.
Como último consejo, os recordamos que la Lista Robinson permite seleccionar los medios por los que no queremos que nos contacten (número de teléfono o correo electrónico, por ejemplo) y también los sectores. Puede que no estéis interesados en que os llamen de una operadora telefónica pero sí de una de viajes. Podéis elegir estos puntos una vez creéis una cuenta:
Con todo, hay que tener en cuenta una cosa que nos recuerda Alarcón: “Que una norma prohíba una conducta no implica que se vaya a respetar, siempre habrá infractores”. Si tras llevar algunos meses inscritos en la Lista Robinson algunas empresas siguen contactando con sus ofertas, podréis poner una reclamación ante la Agencia Española de Protección de Datos (AEPD).
¿Es legal que figure nuestro nombre completo y DNI en buscadores por publicarse en documentos como el BOE?
Nuestros documentos de identidad no deberían estar publicados en Internet si figuran junto a nuestro nombre o algún otro dato personal. Puede pasar, como a las personas que nos habéis preguntado, que al buscar vuestro número de DNI en Google os aparezcan páginas o registros de documentos administrativos como el Boletín Oficial del Estado (BOE) que lo contienen. ¿Es normal eso? Depende de cuándo se publicara.
Con la entrada en vigor de la Ley Orgánica de Protección de Datos (LOPD) en 2018 se establecieron normas a la hora de identificar a las personas a las que se les tuviera que notificar algún acto administrativo. Por ejemplo, si se les concede una beca para estudiar, un premio, si se notifica una sanción, etc.
Están incluidas en la disposición adicional séptima de la LOPD, que dice al comienzo que si esta publicación contiene datos personales del interesado, se le identificará con su nombre y apellidos y únicamente cuatro cifras aleatorias del DNI, NIE, pasaporte o similar. Añade que si en esa publicación aparecen varias personas, esos números se alternan.
El texto también recalca que “en ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente”.
Esto no significa que no podamos encontrarnos nuestro DNI y nombre publicados con esa fórmula. Verónica Alarcón, abogada, nos explica que antes de que se publicara la LOPD, en 2018, no había una previsión para publicar este tipo de anuncios sino que se regulaba por la normativa administrativa, que no definía una forma concreta para hacerlo. Ahora, con la entrada en vigor de esta ley, no puede publicarse así.
De hecho, que ocurra algo así no es frecuente, pero tampoco imposible. En 2019, los compañeros de Maldito Dato publicaron que el Ministerio de Interior había colgado los números de identidad de más de 5.000 candidatos a las elecciones del 28 de abril por error.
“En el momento en el que [el anuncio] ya está publicado y ya ha cumplido la finalidad, por ejemplo en el caso de una beca para la que ya ha pasado incluso el tiempo de reclamación, podrás ejercer tu derecho de supresión u oposición y lo tendrán que retirar”, explica Alarcón.
La abogada insiste en que el derecho de oposición (negarte a que se usen tus datos para un fin determinado) o supresión (que se eliminen los datos) puede aprovecharse puede ejercerse tanto si la publicación es anterior a 2018 y la nueva LOPD o posterior, en caso de que una página haya publicado un registro público, como en el caso de las becas.
¡Un minuto más!
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar: