MENÚ
Hay una nueva norma en Movistar a la hora de contratar tarjetas prepago: si te la llevas a casa y la activas por tu cuenta, deberás subir una foto de tu DNI y otra de tu cara que sirva para identificarte. ¿Esta cesión de datos biométricos es necesaria? ¿Y legal?
Desde el 15 de diciembre, Movistar tiene disponible un servicio de “autoactivación de tarjetas SIM de prepago”. Esto significa que ahora permiten que actives tú la tarjeta SIM por tu cuenta o incluso se la des a otra persona en vez de activarla en la tienda y en presencia de un comercial.
Para saltarse el paso de activación en la tienda y hacerlo por nuestra cuenta, la empresa pide registrarse en un enlace de activación, que nada más entrar nos hace aceptar la Política de Privacidad de Movistar (sí, con una de esas casillas que prácticamente todo el mundo marca al segundo sin siquiera entrar en el documento).
Además piden que se suba una foto del DNI pero también una de nuestra cara para acreditar nuestra identidad. Desde Movistar indican que por ley están obligados a hacer esa autentificación si la activación del servicio no se hace de forma presencial con un comercial. De este modo, pueden asegurar la identidad de la persona que activa la SIM y evitar posibles fraudes.
Hay empresas que pueden estar obligadas a hacer este tipo de autentificación
Maite Sanz de Galdeano, abogada digital en Global Legal Data, nos explica que esa condición la tiene Movistar como operador de telecomunicaciones según Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Esta norma establece que deben retener determinados datos de sus clientes en caso de tener que entregarlos a las autoridades o a un juez.
Además, a nivel europeo entra en juego la Directiva (UE) 2015/2366 (conocida como PSD2), que exige a los proveedores una doble autenticación de sus clientes para evitar casos de fraude: “Este sistema exige al usuario combinar, al menos, dos elementos independientes para verificar su identidad. Puede ser que Movistar haya optado por esta vía de doble autenticación si la compra de la SIM se puede realizar también vía online”, señala Sanz de Galdeano.
Verónica Alarcón, abogada especializada en protección de datos en ePrivacidad, considera que esta medida es proporcional porque la empresa tiene “la obligación de identificar a quien adquiere la tarjeta” y una imagen del rostro que cotejar con el DNI es una manera de hacerlo si no se puede hacer presencialmente.
Esta medida a veces se sustituye con una grabación de llamada. Por ejemplo, si pides un préstamo bancario o contratas un paquete de películas en una operadora. En esos casos, las empresas suelen avisar en la propia llamada que se va a grabar al cliente mientras da su consentimiento del servicio. Esa llamada puede servir como prueba si ocurre algo más adelante (y estamos en nuestro derecho de obtener la grabación).
En julio de este año, la Agencia Española de Protección de Datos (AEPD) multó a Movistar (Telefónica) con un importe de 55.000€ por una denuncia que puso una persona cuya identidad fue suplantada para abrir tres líneas de teléfono. Tras poner una reclamación porque las facturas llegaban a su nombre, reclamó los hechos a la empresa, pero cuando los cobros siguieron llegando esta no quiso darle la grabación de la llamada. Al final la AEPD falló a favor de la denunciante.
Alarcón incide en que este tipo de cosas pasan cuando no se tienen suficientes pruebas para ligar la identidad real de un cliente a los datos que se dieron en el momento de la contratación. En el caso de las SIM prepago, pone como ejemplo la posibilidad de que alguien acuda a una tienda con un DNI robado: si la activa en casa, tendría que adjuntar una imagen de la persona titular además de la copia del DNI.
La Política de Privacidad no hace referencia al tratamiento de datos biométricos
En Maldita Tecnología sí hemos detectado que con la activación de este nuevo servicio no se ha incluido ninguna referencia a la recogida de datos biométricos en la Política de Privacidad de Movistar, que fue actualizada por última vez en julio de 2020.
En ella se citan los datos que se obtienen directamente del cliente, como DNI, dirección postal, dirección de instalación, teléfonos fijo y móvil, correo electrónico, fecha de nacimiento, profesión y sector económico, datos de cuenta bancaria, usuario de redes sociales (si por ejemplo contactamos con la empresa por esa vía) e incluso cookies.
En este caso, para activar la tarjeta cedemos nuestros datos biométricos con una foto de nuestra cara y por tanto esta categoría debería estar incluida en el documento, pero por el momento no es así. Desde Movistar no nos han explicado por qué esto es así. La única referencia a esos datos aparece a la hora de activar el servicio, en la pantalla en la que tenemos que aceptar la Política de Privacidad:
Sanz de Galdeano asegura que aunque pidan el consentimiento para tratar nuestros datos biométricos, “debería explicarse con más detalle en la Política de Privacidad, máxime teniendo en cuenta que es un tratamiento novedoso y que es probable que genere sorpresa y dudas a los usuarios”. Esta abogada recuerda que incluir este tipo de tratamientos es obligatorio según el artículo 13 del Reglamento General de Protección de Datos europeo y el artículo 11 de la Ley Orgánica de Protección de Datos (LOPD).
