Datos excesivos para solicitar la baja de la lista de publicidad de Movistar
Si recibes una comunicación comercial por vía electrónica de Movistar encontrarás en su pie de página un «si no deseas seguir recibiendo publicidad pulse aquí»; pero la información que te solicitará Movistar para dar de baja tu email es ilegalmente excesiva: NIF, pasaporte o tarjeta de residente, nombre, teléfono o 2 apellidos.
Uno de los principios rectores en materia de protección de datos de carácter personal es el denominado principio de calidad de datos, que viene regulado en el artículo 4 de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD). Este principio de calidad tiene una vertiente específica en lo que se resume como la prohibición expresa de recabar datos «excesivos en relación con el ámbito y las finalidades determinadas para las que se recaben» (artículo 4.1 LOPD).
No es muy habitual encontrar resoluciones de la Agencia Española de Protección de Datos (AEPD) en las que se vulnere este principio en relación a la recogida de información excesiva pues ciertamente es raro encontrar este tipo de supuestos en la vida real y menos aún que lleguen a ser denunciados o inspeccionados.
Sin embargo Movistar nos ofrece un buen ejemplo: su procedimiento específico para darse de baja de la lista de comunicaciones comerciales por email no siendo cliente de la operadora. Es importante el detalle de «no siendo cliente» porque en efecto, lo habitual es que Movistar te esté enviando emails sin ni siquiera saber cómo te llamas, simplemente porque te diste de alta con tu email en alguna campaña de Movistar o de sus filiales, porque te registraste en algún sitio y sin saberlo consentías a que te enviara publicidad Movistar o simplemente porque sí.
Echemos un vistazo al procedimiento:
1º: Recibimos email con contenido publicitario; sabemos que es obligatorio por imperativo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) que en la propia comunicación se deba «ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito«. En efecto, en el pie del email de Movistar figura: «Si no desea recibir en adelante información publicitaria en esta dirección de e-mail pulse aquí.» Y el aquí nos lleva a aquí. IMAGEN 1.
2º: Como vemos, hay dos posibilidades ahora, que curses la baja siendo cliente o no siéndolo. Le damos a «No clientes de Movistar» (en realidad aunque le demos a «Cliente de Movistar» te lleva al mismo sitio…en fin).
3º: Accedemos a una nueva ventana (IMAGEN 2) donde ya hay algo raro. En primer lugar nos piden el NIF o equivalente y además el número de teléfono asociado a ese NIF. Pero como no soy cliente de Movistar, aunque introduzca mi NIF y mi número de teléfono me dice que «No existe un usuario con esos datos» (claro, por eso le di a «no soy cliente…»). Entonces si nos fijamos, vemos que a pie de esa nueva ventana pone «(1) En caso de no ser titular de una línea de teléfono de Telefónica de España pulse aquí.». Y el aquí nos lleva a la siguiente ventana (IMAGEN 3).
4º: Ahora ya no nos pide el número de teléfono, en su lugar nos sigue pidiendo el NIF o equivalente, pero ahora nos pide el nombre, más los apellidos o razón social y lógicamente el email que queremos dar de baja. Rellenamos y le damos a «Enviar».
5º: Ahora lo lógico sería que nos avisara que se procedía con la baja y blabla, pero no, tras darle a enviar recibimos esta información: IMAGEN 4.
6: Esperamos un rato (en mi caso fueron 30 minutos) y nos llega un email, con el siguiente contenido: IMAGEN 5.
7: ¿Otra vez? Bien, le damos al enlace de «Confirmar» y nos abre una nueva ventana, IMAGEN 6.
8: En esta nueva ventana nos vuelve a solicitar confirmación para darnos de baja por si acaso hemos llegado a este punto y nos hemos arrepentido… Le damos a «Confirmar» y nos abre una nueva ventana.
9: A estas alturas yo me esperaba ver una ventana que me dijera «Pero está usted seguro que se quiere dar de baja», pero no, en su lugar aparece esto: IMAGEN 7 ¡operación realizada con éxito!, con un hermoso botón a la derecha que pone «null» (parte friki del post).
10: Lógicamente no podía resistirme a darle a ese botón «null» para «ver qué pasa», a pesar de que temía encontrarme con un «Gracias, se ha vuelto a suscribir a nuestra lista de comunicaciones comerciales». El resultado lo cierto es que fue decepcionante, te lleva a una página con un error 404 not found.
Pero volviendo al tema de solicitar información excesiva; resulta evidente que requerirte el NIF, nombre y apellidos para darte de baja de un sitio que NO tiene esa información para contrastar nada es totalmente excesivo; de hecho lo normal en los procedimientos para darte de baja es que el primer enlace de «Si no desea recibir más comunicaciones haga click aquí» ya te lleve directamente a una web donde de forma automática se produzca la baja al visitarla o a lo sumo tras darle a un botón (como ocurre en este caso después de rellenar el formulario con los datos excesivos).
Todo ello además de que durante el procedimiento de baja y en los formularios de solicitud de datos no aparece ninguna cláusula informativa de para qué te están pidiendo esos datos (infracción del deber de información de la LOPD) y de hecho la única explicación que se me ocurre de para qué te la piden es para tener ellos una base de datos de emails más completa: si antes solo teníamos el dato del email, ahora sabemos cómo se llama y su NIF.
Por último, si alguien denunciara a Movistar y efectivamente se constatara la infracción derivada de la solicitud excesiva de datos, la sanción podría alcanzar los 300.000 euros.
Comment
Daniel
Buenos días Samuel,
Antes de todo, darte la enhorabuena por tus artículos, te sigo con frecuencia.
Quería comentarte un caso que puede estar contraveniendo la regulación sobre protección de datos.
El sitio web donde se produce es el siguiente: http://www.todoley.net. Como verás nada más abrir la página, a la izquierda tienes un buscador donde, eligiendo entre las opciones posibles, puedes obtener datos de de nivel básico de abogados, procuradores, notarios, etc. Entiendo que quizás parte de ellos hayan dado su consentimiento para aparecer en la base de datos, pero no es mi caso ni el de muchos compañeros. Por ello, me temo que, posiblemente, los hayan obtenido del ICAM sin preguntar previamente al titular de los mismos.
¿Crees que se puede denunciar ante la AEPD? o quizas, estos datos, al ser de carácter profesional, ¿no están protegidos por la LOPD?
Lo que es patente es que están haciendo negocio con los datos de personas que no han consentido su difusión y que, en algunos casos, aparecen datos de carácter familiar como la dirección de casa de sus padres, su teléfono, etc.
Un cordial saludo,
Daniel Gómez Cuevas