Comencemos por el inicio, ¿qué es el sistema IdentService? Se trata del servicio con el que Orange pretendía poner fin a los problemas que ha venido teniendo en cuanto a intentos de fraude y suplantaciones de identidad en las diferentes fases del proceso de entrega de dispositivos, contratados por sus clientes vía medios electrónicos.
El desarrollo de este sistema IdentService es muy «sencillo» en la práctica. Orange concreta la venta de un terminal, recogiendo en el proceso los datos del comprador, y le encarga a una compañía de logística (en este caso GLS) la entrega del terminal a su cliente. Aquí entra en juego la aplicación de IdentService.
El modus operandi es el siguiente: antes de entregar el paquete, el repartidor debe solicitar el DNI físico a la persona que diga ser la receptora del mismo. Acto seguido, con su dispositivo móvil, ha de fotografiar el anverso y el reverso del DNI de esta persona, y esperar a recibir el mensaje del sistema IdentSerive que dirá si ese DNI coincide con el del comprador o no.
En caso de recibir el OK de IdentService, se entregará el paquete.
Todo esto parece, en principio, una buena idea para solucionar un problema al que todos nos podemos enfrentar: que nuestra compra llegue a las manos equivocadas.
Entonces… ¿Dónde está el problema?
IdentService y el principio de minimización
El problema reside en que el sistema IdentService vulnera el principio de minimización del artículo 5.1.c) del Reglamento General de Protección de Datos (RGPD):
1. Los datos personales serán:
(…)
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”).
Esta vulneración debe entenderse, en el caso de IdentService, en una doble vertiente. Ya que como reconoce la resolución de la Agencia Española de Protección de Datos (AEPD), respecto de la acción de recabar datos personales, esta solo se podrá llevar a cabo:
- Respecto de datos que sean estrictamente necesarios para el tratamiento, y
- Que solo podrán ser recogidos datos personales cuando vayan a ser tratados, y que solo podrán ser utilizados para la finalidad para la que fueron recogidos, pero no con ningún otro objetivo.
Respondiendo a dos preguntas clave
Para contextualizar ambas aclaraciones, resulta relevante apuntar y responder a dos preguntas:
1. ¿Qué datos son estrictamente necesarios en este caso?
Si bien podemos pensar que el principal problema de este sistema IdentService de Orange deriva de obtener la fotografía de la propia imagen del interesado en su DNI, realmente la cantidad de datos que se están tratando con este sistema incluyen:
- Nombre y apellidos
- Número
- Firma
- Domicilio
- Lugar y fecha de nacimiento
- Fecha de expedición
- Fecha de validez
- Código alfanumérico
- Equipo expedidor y oficina…
Resulta evidente que el tratamiento de todos estos datos no puede considerarse «necesario» cuando el único objetivo es confirmar que hay coincidencia en un único dato.
2. ¿En qué momento y con qué finalidad?
Por lo que respecta al momento de recogida y finalidad del tratamiento, la empresa alega que la finalidad del tratamiento es «acreditar, posteriormente y en caso de que sea necesario” haber desplegado la diligencia exigible… Por tanto, se está incumpliendo el requisito de la recogida de datos personales únicamente cuando vayan a ser tratados, y no recabarlos y almacenarlos sine die, con un plazo de conversación no determinado…si es que en algún momento llega a «ser necesario».
Del almacenamiento, se alega por parte de Orange que nadie tiene acceso a esas imágenes del DNI de sus clientes una vez son guardadas, sino que tienen un sistema propio para esa gestión, que la almacena separada del resto de información y «solamente un técnico para el mantenimiento del sistema tiene acceso al servidor». Este hecho resulta irrelevante a estos efectos, dado que la responsabilidad deriva en Orange como Responsable del tratamiento, independientemente de quién acceda a los datos objeto de dicho tratamiento.
Efectivamente el (47) del RGPD señala que:
El tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude constituye un interés legítimo del responsable del tratamiento de que se trate.
Si bien el TC ha establecido que, si el objetivo puede alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados.
Los agravantes de la infracción de IdentService
Por este motivo, la AEPD considera que el problema radica en la forma elegida para solucionar el problema del fraude y/o suplantaciones. Ya que el sistema IdentService no respeta el Reglamento General de Protección de Datos y deviene en una infracción sancionable conforme al artículo 83.5 del RGPD.
A mayores de todo lo anterior, la AEPD se esfuerza en señalar una serie de circunstancias agravantes en este caso de infracción de la normativa de protección de datos:
- El volumen del negocio de la reclamada. En este sentido, se establece una relación entre el número de clientes y el número de potenciales afectados por la infracción y determina que la transcendencia de la conducta es innegable.
- La intencionalidad en la infracción, al entenderse a la reclamada plenamente consciente de cómo funcionaba IdentService, el procedimiento que había implantado.
- El carácter continuado de la infracción, o «infracción permanente». Es decir, un caso en el que la consumación del hecho se proyecta en el tiempo más allá del momento inicial y se extiende, vulnerando la normativa de protección de datos, durante todo el periodo en que el dato es objeto de tratamiento.
En resumen, el sistema IdentService de Orange nos proporciona un nuevo ejemplo de que, en lo que respecta a la protección de datos de carácter personal, no solo es importante el qué, sino también el cómo y el cuándo.