Últimamente me ha estado rondando en la cabeza, lo bien que funcionan algunos sitios en Internet que se dedican a la venta online (o al comercio electrónico). Está claro que la visión que hoy tenemos de la compra por Internet difiere mucho a la de hace algunos años. Antes, lo que más preocupaba era tener que dar el número de la tarjeta para comprar, cosa que ahora, ya no genera tanto miedo (a no ser que compres en la web http://www.mafiosos.tu).
Particularmente, además de la confianza por el uso de estas nuevas formas de comprar productos, creo que una de las cuestiones del éxito del comercio electrónico es el desarrollo de la logística. Las empresas de transportes siempre han existido, desde el antiguo monopolio de Correos y Telégrafos hasta el gigante FedEx (no puedo evitar que me venga a la cabeza, al hablar de esta compañía, Tom Hanks y su amigo Wilson y gracias Jon por el apunte). Pero últimamente, considero que hay un pequeño «boom» en este tipo de compañías. Sin ningún ánimo publicitario: SEUR, MRW, ChronoExpress, ASM,…. son algunos ejemplos que, o bien, han crecido exponencialmente, o bien han aparecido hace unos pocos años.
Pero ¿a que se debe? Pues sin duda, uno de los motivos es el comercio electrónico. Hace unas semanas estuve en una delegación de una de estas compañías y el 75% de la paquetería a repartir era BuyVip y Amazon. Sin duda ejemplificador.
Un procedimiento estándar en la compra por Internet es:
- Un usuario compra en la web. Y obviamente facilita unos determinados datos personales para la facturación y envío del producto comprado.
- Se procede al pago (generalmente mediante tarjeta de crédito).
- La web procesa el pago.
- Se envía un correo electrónico al usuario señalando que se ha realizado el envío. Habitualmente, estos correos electrónicos llevan consigo un «número de seguimiento» o tracking, para que el usuario pueda ver, en la web de la empresa transportista, cómo está su envío.
- El comprador recibe su producto.
Ese tracking no sólo da información puntual de si el envío está en almacén, está en transito o ya ha salido en reparto, sino que también, muestra los datos identificativos del usuario y su dirección. Hasta aquí todo correcto e, incluso, podíamos pensar que es un servicio de valor añadido al comprador, pero ¿y si entra en juego nuestra querida LOPD?
Me explico: Generalmente esos números (de unas 10 o más cifras) se suelen colocar en un buscador de la web del transportista para dar la información, pero ¿alguien ha probado a poner un número de seguimiento diferente al facilitado (por ejemplo sumando 1 o 2 al que nos han dado)? Pues nos podemos encontrar con la sorpresa de que nos de la información de otra persona. Esta situación ¿cómo encajaría con el artículo 10 de la LOPD? Conociendo a la Agencia de Protección de Datos, no sería difícil encontrarnos ante un incumplimiento del deber de secreto. Cuestión diferente es quien sería el incumplidor: ¿la web de comercio electrónico o la empresa de logística? Pero esto ya sería otro debate diferente al que quiero mostrar.
Desconozco si, para evitar riesgos relacionados con la privacidad, o por otros motivos no jurídicos, algunas compañías, exigen un «plus» y exigen, además del número de seguimiento, otra información adicional, como pudiera ser en código postal donde se tiene que remitir el paquete. Está claro que esto mitigaría un acceso a información personal no consentida y, por tanto, un hipotético incumplimiento del deber de secreto, pero ¿cómo queda el deber de seguridad del artículo 9 de la LOPD? Y más concretamente, ¿se cumpliría con el artículo 93.2 del RLOPD?:
Artículo 93. Identificación y autenticación.
(…)
2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.
(…)
Así pues, con ese número de seguimiento, ¿no se estaría accediendo a un sistema de información con datos de carácter personal? Es más, ¿se podría considerar a ese tracking como un sistema de identificación y autenticación acorde a la LOPD? Yo creo que no.
Como conclusión, y como no podría ser de otra manera, debemos ser conscientes que las nuevas formas de negocio por Internet, no sólo tienen que dar un servicio añadido a sus clientes, sino que deben ser conscientes de los riesgos legales de ofrecerlos sin tener en cuenta las consecuencias jurídicas. En materia de protección de datos, se habla últimamente de privacy by design. En algunos sistemas de tracking, si se hubiera tenido en cuenta esto, no nos encontraríamos con lo que he expuesto en este post.
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Hola:
interesante cuestión que para mí si es un incumplimiento de la LOPD y el reglamento.
Por cierto, te has parado a pensar en los tratamientos de datos que hacen los carteros? Piensa en cuando se equivocan y echan en tu buzón una carta del vecino; por esa carta puedes saber muchas cosas, como la clínica a la que va, el seguro médico que tiene, etc. evidentemente sin abrirla…
Sabes el caso de alguna sanción a correos por este tipo de cuestiones? Hace tiempo me lo pregunto, pero no me he puesto a mirar.
Un saludo.
Gracias David por comentar.
En el tema de Correos, me consta un supuesto de hecho similar al que planteas, pero en este caso es entrega de un paquete a otra persona diferente del destinatario. Se le sanciona por incumplimiento del deber de secreto:
http://bit.ly/Y4br58
Un saludo.
Bien visto.
De todas formas yo creo que la solución más fácil para ellos es que dejen de mostrar los datos del destinatario. A fin de cuentas lo relevante es saber por dónde anda el paquete.
Un saludo.
Gracias David. Pues sí, es una solución que acabaría con la polémica…pero supongo que la muestran para verificar si existe algún error, no sé.
Si que me ha «sorprendido» que en la AEPD no haya ninguna resolución (o yo no haya encontrado….).
Un saludo!
En mi opinión, claramente, es un incumplimiento de la LOPD y, como bien dices, nadie ha tenido en cuenta el privacy by design al diseñar el tracking en cuestión, lo que hace que este tipo de cuestiones salgan de forma sobrevenida al diseño, una vez en producción, y, por tanto, sometidas a incumplimiento de la LOPD, quedando expuesta a su régimen sancionador.
Se me había olvidado decir, que estoy totalmente de acuerdo con David. El no mostrar los datos del destinatario sería lo primero a considerar en el privacy by design.
Gracias Mikel por tu punto de vista.
Un saludo!
Buen post Gontzal. Estoy de acuerdo con David, creo que si omitimos los datos que identifican a la persona dentro del «tracking number» nos estaríamos ahorrando un «posible» disgusto. La única finalidad del seguimiento del envío es saber su localización en un determinado momento..
Saludos
@JesusMBotella
Gracias Jesús por tu comentario. A veces, como he comentado antes, el dar un valor añadido nos puede traer algún riesgo jurídico como es el casi expuesto.
Un saludo!
Oye, yo he probado a modificar varias cifras de un paquete que tengo en tracking actualmente con DHL y no es fácil atinar con otro número de tracking correcto.
¿Alguien ha probado y ha podido entrar y ver los datos de seguimiento de otro envío?
[IMG]http://i48.tinypic.com/9a5te9.jpg[/IMG]
Aparte de la información del receptor poco dato de trascendencia se puede ver.
A mí me preocupa todavía más que se pueda utilizar la información conocida al respecto de un hecho relacionado con una persona en concreto
Qué podría hacer un Kevin Mitnick con ello?
A mí se me ocurren varias cosas