Orange deberá afrontar una multa de 100.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD). No por tramitar un alta sin permiso o no verificar lo suficiente la identidad de un estafador, como le ocurrió hace unos años. La clave es en esta ocasión distinta: lo que ha puesto en marcha la maquinaria de la AEPD hasta derivar en la sanción es una práctica empleada por la compañía para confirmar la identidad de sus clientes durante las entregas de paquete: fotografiar los DNI por ambas caras. Los técnicos de la Agencia concluyen que en el carné aparecen más datos personales de los necesarios para el intercambio.
Un desliz que puede salir caro a la operadora.
Un caso que se remonta a 2020. La resolución de la AEPD se publicó hace solo unos días, el jueves pasado, pero parte de una queja registrada en realidad hace tres años. Para ser más precisos el 22 de abril de 2020, cuando acudieron a un cuartel de la Guardia Civil de Totana, en Murcia, dos personas: un particular (A.A.A.) y un repartidor de la empresa General Logistic Systems (GLS).
El motivo que los llevó a las oficinas de la Benemérita era peculiar: el primero, A.A.A., quería que se investigara lo que acaba de ocurrirle durante la entrega de un paquete. Básicamente —y como recoge la propia AEPD— el individuo se encontró con que si quería que el repartidor le entregara su pedido, que contenía un teléfono móvil de Orange, antes debía presentar su DNI y permitir que se lo fotografiaran tanto por el reverso como el anverso. Las imágenes se tomaban con un terminal para cumplir lo que, aparentemente, era un requisito de la empresa.
Activando la maquinaria de la AEPD. El caso acabó llegando poco después a la AEPD con Orange como parte reclamada y puso en marcha una maquinaria que ha concluido ahora con la resolución. Y una multa de 100.000 euros por infringir el artículo 5.1.c del Reglamento General de Protección de Datos.
El documento detalla básicamente que los datos deben tratarse de forma "adecuada, pertinente y limitada" a lo necesario para cada caso. La resolución del organismo pone fin a la vía administrativa, pero aún pueden presentarse recursos de reposición o un contencioso administrativo en la Audiencia Nacional.
¿Dejar que me fotografíen el DNI? He ahí la clave del caso. ¿Está justificado que se fotografíe el DNI por ambos lados para verificar la identidad al cliente? ¿O supone, por el contrario, demandar más información de la que realmente resulta necesaria, lo que vulneraría lo que el reglamento llama "minimización de datos"? En el caso estudiado por la AEPD el repartidor ofrece IdentService, que busca dar más garantías de que quien recoge el paquete es su auténtico destinatario.
Si el nombre y el DNI no son los que deben el paquete no llega a entregarse. En caso de que sí lo sean se toman las fotografías y se envían por un canal cifrado para conservarlas en un servidor interno, sin que el repartidor pueda consultarlas. Cada empresa accedería a las suyas con un enlace y el material se almacena cuatro años. Orange informa por correo al cliente de que en el momento de la entrega puede solicitársele el DNI para su digitalización y recoge las condiciones en su web, donde advierte: "La documentación será escaneada en la recogida".
¿Y qué dice Orange? En sus alegaciones ante la Agencia, la compañía ha insistido en que lo que se persigue es un "interés legítimo" y que se ajusta a lo que plantean diferentes sentencias emitidas a lo largo de los años y se le ha reclamado antes. En 2021 la AEPD ya sancionó a Orange por no verificar la identidad de un usuario que suplantó a otro para lograr una copia de su SIM y usar Bizum.
A mayores recalca que la foto se toma con una app específica que no almacena la imagen en el dispositivo: "El fin último es garantizar que el terminal es entregado a la persona que lo ha contratado", recoge el documento de la AEPD al enumerar sus alegaciones. Si se usan imágenes del DNI, abunda, es para "acreditar, en caso de ser necesario, haber desplegado la diligencia exigible al verificar la identidad".
Más datos de los necesarios. Para la Agencia hay "indicios evidentes" sin embargo de que la compañía vulneró el artículo 5 del RGPD, y recalca: "El DNI contiene no solo el nombre y apellidos, su número y fotografía del destinatario, sino que incorpora otros muchos datos", como la firma del usuario, su domicilio, lugar y fecha de nacimiento, código alfanumérico, fecha de expedición y validez. "Datos completamente adicionales que no son ni adecuados ni pertinentes ni limitados a la finalidad de la entrega de la mercancía", incide el organismo
La solución: métodos menos invasivos. Ese es otro de los mensajes fundamentales de la resolución, que señala que para acreditar la identidad de quien recoge el paquete y que efectivamente se trata del cliente que lo contrató deben utilizarse "medios que resulten menos lesivos y agresivos para la privacidad de las personas". "El tratamiento de las imágenes del DNI resulta excesivo para la finalidad de verificar y determinar que el destinatario a quien se entrega la mercancía es la misma persona que aquella que celebró el contrato".
Imagen de portada: Martín Colombet (Orange)
Vía: Banda Ancha
Ver todos los comentarios en https://www.xataka.com
VER 15 Comentarios