Contratación a distancia: ¿qué recomienda la AEPD?

La Agencia Española de Protección de Datos (“AEPD”) acaba de publicar un informe con el resultado de las inspecciones realizadas de oficio a operadores de telecomunicaciones y comercializadores de energía con el fin de determinar la adecuación de sus procesos de contratación a distancia (en particular, de aquellos dirigidos a acreditar la identidad del contratante y el alcance de los servicios contratados) a la normativa de protección de datos.

La última decisión sancionadora de la AEPD a uno de estos operadores de telecomunicaciones por el incumplimiento de estas obligaciones, que ha sido publicada hace pocos días -tiene fecha 27 de octubre de 2020 – PS/00303/2020- y que ha servido para imponerle una multa de 60.000 Euros, evidencia que el supervisor tiene puesta su atención en el cumplimiento normativo en este ámbito.

No esconde el informe que prevenir la suplantación de identidad de los interesados cuando contratan a distancia se ha convertido en uno de los principales retos para las empresas que operan por Internet. En este y otros desafíos y en las acciones que se están acometiendo desde ambos sectores para superarlos (el uso de terceros de confianza, sistemas OTP, etc.) se detiene la AEPD que ofrece, además, algunas conclusiones y recomendaciones específicas para estos operadores y otras, de carácter más general, aplicables a operadores en otros ámbitos de actividad.

A estas alturas, no es ninguna novedad que dar cumplimiento al Reglamento General de Protección de Datos (RGPD), aplicable desde el 25 de mayo de 2018, requirió esfuerzos de adaptación significativos de las empresas desde muchos puntos de vista -contractual, organizativo, operativo, tecnológico, de procesos-. Sin embargo, a la vista del informe de la AEPD y, aunque, al menos en los sectores objeto de inspección, las empresas han sido capaces de adaptarse a buena parte de esas novedades, tampoco pillará a nadie desprevenido el hecho de que existen todavía lagunas o asignaturas pendientes -áreas de mejora- sobre las que poner el foco.

Entre estos aspectos de mejora podemos destacar:

• Conservar los datos no más tiempo del necesario y, en especial, en el caso de clientes potenciales o de antiguos clientes, determinar plazos de supresión o revisión periódica.
• Establecer un procedimiento para el ejercicio de derechos fácilmente comprensible y que incluya la identificación inequívoca del interesado
• Avanzar en la adaptación de los contratos de encargo de tratamiento aún pendientes
• Utilizar modelos de información por capas o niveles en los que se identifiquen correctamente los tratamientos realizados, cómo se ejercen los derechos, los datos de contacto del delegado de protección de datos y las bases jurídicas empleadas, especialmente en tratamientos que afecten significativamente al interesado.

En el ámbito de la contratación a distancia, la AEPD propone la utilización de procedimientos al “estilo PSD2” para incrementar la fiabilidad en la identificación de las partes. Estos mecanismos estarían basados en

• Utilización de dos o más elementos categorizados como conocimiento (algo que solo conoce el usuario)
• Posesión (algo que solo posee el usuario)
• Inherencia (algo que es el usuario), independientes unos de otros, de tal manera que la vulneración de uno de ellos no comprometa la de los demás, y concebidos de manera que se proteja la confidencialidad de los datos de autentificación. En este punto, cabe destacar que, si bien el uso de firma electrónica para la identificación del interesado se valora de forma positiva, para el uso de datos biométricos se pone el acento en la necesidad de llevar a cabo un análisis concreto del tratamiento, para asegurar su viabilidad jurídica (e. g. qué técnicas de datos se emplean, qué datos se tratan, etc.).

Otra recomendación en materia de contratación a distancia se concreta en la necesidad de articular mecanismos que permitan almacenar la prueba de la contratación y de trazar cualquier modificación o alteración posterior de dicha prueba.

En cuanto al uso del email para la remisión de documentación y de mensajes SMS para continuar los procesos de contratación, la AEPD considera necesarias medidas adicionales para garantizar la identidad del cliente potencial y su intención de contratar. Por tanto, en estos casos deben articularse sistemas más robustos de identificación y registro de la voluntad contractual.

Aunque todas estas recomendaciones no nos cogen por sorpresa, el informe pone de manifiesto cómo la AEPD está dirigiendo su actividad, y con determinación, hacia la supervisión de los canales digitales. En línea con esto, el informe se constituye en un elemento adicional del que las organizaciones pueden servirse para seguir avanzando en su senda de cumplimiento del RGPD y en una manifestación clara de la cada vez mayor imbricación de la normativa de protección de la privacidad con la de protección al consumidor y la de comercio electrónico.