¿Es la SIM una cookie?

Deja una respuesta

¿Se puede considerar una cookie a la información identificativa de usuario almacenada en la tarjeta SIM?

Tal parece deducirse de la reciente Resolución R/01753/2016 de la Agencia Española de Protección de Datos en la que sanciona a Telefónica Móviles España por infracción del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI), cuyo tenor literal es:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

El artículo anterior es conocido informalmente como “Ley de Cookies”, debido a que resulta de la transposición de la Directiva 2002/58/CE que introducía el término cookie en su considerando 25, aunque luego la LSSI lo denominara dispositivo de almacenamiento y recuperación de datos, lo que, a su vez, ha dado lugar a las siglas DARD para su denominación.

Ahora bien, ¿cuál es la definición de dispositivo de almacenamiento y recuperación de datos? A diferencia de otros términos y expresiones que sí se definen en el Anexo de la propia LSSI, tal expresión no se recoge en dicho Anexo, por lo que resulta necesario recurrir a la técnica de la interpretación jurídica para averiguar su significado. Es decir, es necesario llevar a cabo, tal como establece el artículo 3 del Código Civil, el análisis interpretativo de la norma desde un punto de vista literal, sistemático, histórico, sociológico, lógico y teleológico.

Es evidente, por otra parte, que, para considerar infringido el artículo 22.2 de la LSSI en la Resolución mencionada, la AEPD ha tenido que entender que TME ha utilizado un DARD existente en el terminal del usuario y que sobre su utilización no le ha facilitado a éste último información clara y completa, o bien, no ha recibido su consentimiento. Pero, ¿qué es lo que la AEPD ha considerado en este caso como DARD?

  • Para tratar de contestar a esta pregunta, analicemos en primer lugar el contenido de la citada Resolución. Dentro del antecedente primero, se detalla que la denuncia recibida hace mención a que “Telefónica de España-Movistar utiliza “supercookies”” y en el antecedente segundo, se mencionan entre otros aspectos, que “Telefónica reconoce que ha estado empleando la técnica de “supercookie” denominada “enriquecimiento de cabeceras”” y que “el inspector actuante … accede desde dos teléfonos móviles con contratos con Movistar … con la finalidad de verificar si el operador utiliza “supercookies””.

A pesar de la alegación de TME acerca de que:

“Es fundamental distinguir la técnica del “enriquecimiento de cabeceras” cuya utilización ha sido reconocida por TME y la utilización de “supercookies”. Para que esta técnica se considera como supercookie es necesario que los datos tratados a través de la misma sean almacenados mediante un DARD

, la Resolución de la AEPD en su exposición de Hechos Probados y de Fundamentos de Derecho no responde explícitamente a dicha alegación ni vuelve a mencionar el término supercookie, haciendo ya uso exclusivamente de la expresión enriquecimiento de cabeceras para referirse a la técnica utilizada para cometer la infracción.

  • A partir del análisis anterior, caben dos posibilidades para explicar, siguiendo un razonamiento lógico, qué ha considerado la AEPD concretamente DARD:
  1. Una primera explicación es que la AEPD, habiendo hecho caso omiso de la alegación antes mencionada realizada en sentido contrario por Telefónica, haya interpretado que el enriquecimiento de cabeceras equivale a un DARD, considerando que es una supercookie y, por ello, un tipo de cookie más que se almacena en el terminal del usuario, tal como se deduce del tenor literal del antecedente segundo: técnica de “supercookie” denominada “enriquecimiento de cabeceras”.

Tal interpretación sería evidentemente errónea, ya que el enriquecimiento de cabeceras se llevó a cabo por TME dentro de sus nodos de red, añadiendo la metainformación identificativa del usuario a las cabeceras de sus paquetes HTTP, al tenerle perfectamente identificado desde su conexión a la red, sin que dicha metainformación fuera almacenada previamente en el terminal del usuario, tal como exige el artículo 22.2 LSSI. Ello imposibilita, por tanto, que esta metainformación sea considerada un DARD.

No cabe tampoco salvar este obstáculo mediante la aplicación analógica, considerando similar el efecto producido por el enriquecimiento de cabeceras  con el efecto producido por una cookie y teniendo en cuenta además que el enriquecimiento de cabeceras se ha denominado frecuentemente supercookies o permacookies, favoreciendo la posible interpretación de equivalencia entre enriquecimiento de cabeceras y cookies,  ya que la analogía in malam partem está prohibida en un procedimiento sancionador. Es necesario, por tanto, que la conducta infractora cumpla escrupulosamente el tipo descrito en la Ley, lo que, según esta primera explicación, no ha ocurrido.

  1. Pero una segunda explicación, si bien es preciso reconocer de entrada que en absoluto resulta evidente de la redacción de la Resolución, sería que la AEPD haya entendido que el DARD no estaba constituido por la metainformación añadida en el enriquecimiento de cabeceras, sino por la información que permite la identificación del usuario por el operador de red, almacenada en el terminal del usuario, concretamente dentro de la SIM física o virtual. Entre los diversos datos que se almacenan en una SIM, el IMSI (International Mobile Subscriber Identity), es el identificador que almacena la identidad del usuario en la red, compuesta de código de país, identificador del operador y número telefónico del usuario. Al tratarse, por tanto, de una información almacenada en el terminal del usuario, sí cumpliría esta condición impuesta por el artículo 22.2 LSSI para ser un DARD.

Ahora bien, con arreglo a la interpretación jurídica mencionada más arriba, ¿se puede considerar que el identificador de usuario guardado en una SIM es realmente un DARD?

  • Desde una interpretación literal, un DARD es un dispositivo, es decir, un mecanismo o artificio capaz de producir una acción prevista, acción que no es otra que la de almacenar y recuperar posteriormente unos datos determinados. El identificador IMSI guardado en la tarjeta SIM es un campo que almacena dicho dato, que posteriormente se lee por el operador de la red móvil cada vez que el usuario conecta su terminal a ésta. Por tanto, atendiendo a una interpretación estrictamente literal, sí que dicho identificador puede ser considerado un DARD.
  • Pero si acudimos a una interpretación sistemática y lógica, es decir, atendiendo al contexto en el que aparece en la LSSI la expresión dispositivos de almacenamiento y recuperación de datos (DARD) y atendiendo también al espíritu de la norma, hay una primera cuestión a tener en cuenta: tal dispositivo solo va a poder utilizarse después de que se haya facilitado información clara y completa sobre su utilización y, en particular, sobre los fines del tratamiento de los datos de carácter personal.

Es decir, el legislador está refiriéndose a dispositivos sobre los que el proveedor de servicios tenga perfectamente claro para qué se van a utilizar antes de almacenar los datos en dichos dispositivos, de forma que pueda facilitar una información completa al usuario sobre su uso.

En el caso que estamos analizando, hay que tener en cuenta que el identificador IMSI se almacena en el terminal de usuario tras contratar éste su línea móvil con el operador de red, momento en el que éste le hace entrega de la tarjeta SIM, o, en el caso de una SIM virtual, se la activa remotamente, y permanece constante en tanto el usuario mantenga su número de teléfono móvil y su operador de red, incluso aunque cambie de tarjeta SIM.

Por ello, resulta evidente que la información de identificación de usuario guardada en la SIM va a ser utilizada por el operador de red para una diversidad de servicios o funcionalidades que están indefinidas a priori en el momento de hacer entrega de la SIM al usuario. Es evidente del mismo modo, que resulta imposible informar al usuario acerca de servicios o funcionalidades futuras que ni siquiera están previstos o especificados por el operador de red.

Por tanto, desde un punto de vista sistemático y lógico, el identificador de usuario guardado en la SIM no puede ser considerado como un DARD, ya que considerarlo así nos llevaría al absurdo de requerir que el operador de red aportara una información al usuario de imposible cumplimiento.

  • Del mismo modo, atendiendo a una interpretación histórica, la introducción del DARD se produjo, como ya se ha mencionado anteriormente, en 2002 a consecuencia de la transposición de la Directiva 2002/58/CE. Esta Directiva mostraba su preocupación en el considerando 24 porque los denominados «programas espía» (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Para establecer, a renglón seguido en el considerando 25, que los dispositivos de este tipo, por ejemplo los denominados «chivatos» (cookies), pueden constituir un instrumento legítimo y de gran utilidad, por ejemplo, para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea. En los casos en que estos dispositivos, por ejemplo los denominados «chivatos» (cookies), tengan un propósito legítimo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando… se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un «chivato» (cookie) o dispositivo similar, en caso de que éste tenga un propósito legítimo.

Parece evidente de los párrafos anteriores que el legislador europeo se estaba refiriendo a la protección del usuario de redes de comunicaciones electrónicas frente a los dispositivos susceptibles de introducirse en su terminal sin su previo conocimiento y favorecer, en concreto, el uso de cookies que facilitaran el acceso a sitios web, pero no a los datos relativos a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información, como obviamente es el caso del identificador IMSI, a los que la Directiva se refiere precisamente a continuación en el considerando 26 y, en su parte dispositiva, en los apartados 1 y 2 del artículo 5 (Confidencialidad de las comunicaciones), a diferencia de la información almacenada en el equipo de usuario (cookie) a la que dedica el apartado 3 de dicho artículo.

Por todo ello, la interpretación histórica redunda también, en mi opinión, en negar la condición de DARD al identificador de usuario guardado en la SIM.

  • En cuanto a la interpretación sociológica aplicable a este caso, creo que no proporciona ninguna aportación diferencial con relación a la anterior interpretación histórica, ya que la realidad social actual no es, en el asunto que nos ocupa, sustancialmente diferente de la que existía cuando la norma fue promulgada inicialmente en 2002.

En este sentido, la modificación en 2009 de la Directiva 2002/58/CE por la Directiva 2009/136/CE no afectó significativamente a la argumentación llevada a cabo en el punto anterior. En concreto los considerandos 24, 25 y 26 de la anterior Directiva se corresponden respectivamente, de forma bastante aproximada en lo relativo al caso, con los considerandos 65, 66 y 69 de la más reciente, mientras que el artículo 5 tan solo se modifica en el apartado 3 para requerir que el consentimiento del usuario se realice después de recibir la información clara y completa sobre los fines del tratamiento de datos, pero sin alterar los tipos de datos a los que dedica cada apartado.

  • Por último, una interpretación teleológica del artículo 22.2 LSSI conduce, en mi opinión, a que la finalidad del legislador fue aplicarlo a los DARD almacenados en el terminal del usuario como consecuencia del uso de un determinado servicio de la sociedad de la información, quedando fuera de su ámbito de aplicación aquellos datos de usuario almacenados en su terminal que son utilizados por el operador de red para permitir su conexión a la red y la posterior transmisión de información y que resultan susceptibles de un tratamiento diferencial por parte de otra norma.

A esta conclusión se llega precisamente partiendo de la existencia de una norma específica que es aplicable exclusivamente a los operadores de red, como es la Ley 9/2014 General de Telecomunicaciones y, en concreto, su artículo 41 dedicado a la protección por parte del operador de red de los datos de carácter personal, que le exige la adopción de medidas técnicas y de gestión y, entre otras, en su apartado 1b, la protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos.

Por tanto, tampoco desde un punto de vista teleológico debe considerarse un DARD al identificador de usuario guardado en la SIM.

En conclusión, a través del anterior proceso interpretativo del artículo 22.2 LSSI llevado a cabo, se concluye que no se puede considerar que el identificador de usuario guardado en una SIM sea un DARD. En consecuencia, la segunda explicación acerca de lo que la AEPD ha podido considerar como DARD, la información residente en el terminal del usuario que permite su identificación por el operador de red, no es conforme, en mi opinión, con una interpretación correcta del artículo 22.2 de la LSSI.

Consideraciones al margen

Al margen de la argumentación anterior, expongo a continuación unas breves consideraciones de tipo más tecnológico que jurídico sobre este asunto, en un intento de clarificación:

Parece evidente, según las propias alegaciones de Telefónica, que, hasta septiembre de 2015, TME introdujo identificadores únicos en dos campos no estándar de la cabecera HTTP, “x-up-subno” y “TM user-id”, de forma indiscriminada en todos los usuarios de su red, tanto si utilizaban acceso a servicios de pago como si no lo hacían.

También se deduce de las alegaciones de Telefónica que nadie más, aparte de TME, conocía la asignación de dicho identificador único a la identidad real del usuario, pudiendo considerarse por ello un seudónimo de éste para terceros distintos de TME.

El resultado de todo ello es que cualquier servidor web que fuera accedido por cualquiera de estos usuarios estaría en disposición de poder leer dicho identificador único y asociarlo dentro de una técnica específica de rastreo a un perfil de usuario concreto, susceptible de tratamiento diferenciado por el propio servidor web o por otros servidores a los que éste le comunicara dicho perfil.

No obstante, difícilmente podría considerarse que la información del usuario recibida por los servidores web a los que éste accedía, fueran datos de carácter personal, al tratarse de datos anonimizados para todos excepto para TME, siempre en el supuesto de que solo ésta conociera la asignación del identificador único a la identidad del usuario. Ello no impediría el tratamiento diferenciado para cada usuario por parte del servidor web, aunque aquellos fueran anónimos para éste último. En este supuesto, cabría una vulneración del artículo 48.2.b de la Ley General de Telecomunicaciones si el identificador único añadido a las cabeceras HTTP pudiera ser considerado como datos de tráfico.

Asimismo, hay que tener en cuenta que la recepción de ese identificador único sería similar, a efectos de la información recibida por estos servidores web, a recibir peticiones HTTP de usuarios con IP fija y sin NAT ni Proxy intermedios, con la diferencia de que dicha IP sí podría identificar al usuario a través de un servicio de identificación tipo whois. En relación con esto, hay que tener también presente que con IPv6, las IPs son fijas, no siendo ya necesario en principio ningún tipo de NAT o Proxy por causa de la carencia de direcciones.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar estos tags y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informo que los datos personales recogidos mediante este formulario serán tratados de forma confidencial, sin que, salvo con su consentimiento expreso, vayan a ser cedidos fuera de los casos legalmente permitidos, y quedarán incorporados al fichero "COMENTARIOS BLOG ABOGADOTELECO", cuya finalidad es la gestión, presentación y seguimiento de los comentarios realizados en este blog. Mediante el envío de la información anterior, presta Ud. su consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario. Los derechos de acceso, rectificación, cancelación y oposición podrán ejercerse ante José Luis García Gómez, responsable del fichero, solicitándolo a la dirección jl@abogadoteleco.es o mediante escrito dirigido a la dirección que figura en la página de contacto.