Salir del armario, actividad de alto riesgo en protección de datos

El doble opt-in es un sistema que permite obtener el consentimiento de un usuario por partida doble. Este sistema no es obligatorio legalmente ante todo tipo de datos personales, pero sí muy recomendable tanto desde un punto de vista de marketing como de protección de datos personales. Y este sistema se convierte en obligatorio si para lo que los usuarios deben dar su consentimiento es materia sensible, como lo sería darse de alta en una web de contactos entre homosexuales. Y si no que se lo cuenten a un usuario que fue dado de alta por un tercero en un portal de contactos suplantando su identidad- o al propio portal, al que se ha impuesto una multa de 90.000 euros.

Un funcionario público bautizado por la Agencia Española de Protección de Datos (AEPD) como AAA para proteger su identidad, se dirigió a ésta para denunciar su caso tras haberlo intentado solucionar infructuosamente con el portal web implicado. Resulta que un día recibió en su cuenta de correo profesional un mensaje de e-mail en el que le comunicaban que su perfil había sido validado en una web de contactos homosexuales, por lo que a partir de ese momento su ficha aparecería en las búsquedas que realizaran otros usuarios y sería mucho más visible para todos.

Efectivamente, al poco tiempo comenzaron a llegarle a su buzón de e-mail mensajes de otros usuarios de la web que querían entrar en contacto con él. Había sido dado de alta con su nombre, apellidos y fotografía y en su perfil personal se incluían detalles respecto a su profesión, fecha de nacimiento y estado civil, si bebía o fumaba, si ya había salido del armario y otros detalles como si tenía o no vello corporal, sus lugares de “ligue” y cuáles eran sus preferencias de contacto.

AAA envió entonces varios mensajes a la dirección de contacto del portal manifestando que él no había creado ningún perfil ni lo había autorizado y pidiendo que le dieran de baja, pero los mensajes le llegaban devueltos. Tras conseguir contactar con ellos le dieron una nueva contraseña, con la que pudo dar de baja el perfil, pero al poco tiempo recibió otro mensaje de bienvenida en el que le anunciaban que había sido dado otra vez de alta. AAA esgrimió entonces por escrito sus derechos en relación a la LOPD, explicaba que quería que se cancelase ese perfil y que activaran alguna herramienta para impedir que terceros pudieran activar un perfil a su nombre. Pero ni por esas, así que AAA acudió finalmente a la AEPD a denunciarlo, cuyos inspectores, durante la tramitación del caso, se dieron también de alta en la web de contactos para comprobar en primera persona como funcionaba el procedimiento.

Lo que ocurría era tan sencillo como que la web, una vez recibida la solicitud de alta, se limitaba a enviar a la dirección de correo que facilitara esa persona un mensaje de confirmación, en lugar de un mensaje que obligara a confirmar expresamente desde ese mismo e-mail los datos que se habían facilitado y la voluntad de darse de alta, y solo entonces activar el alta. Si la web de contactos lo hubiera tenido activado antes, nunca hubiera podido darse de alta el perfil de AAA, que como la AEPD pudo comprobar durante la investigación, se realizó desde un cibercafé.

En definitiva, el portal web cometió una infracción relacionada con el principio de seguridad de los datos (art. 9 de la LOPD) que, en el caso de datos de nivel alto (como son los relacionados con la vida sexual de las personas), exigen medidas de seguridad de ese nivel, entre otras autenticar al usuario antes de darle de alta, para impedir que -como en este caso ocurrió- puedan ser terceras personas quienes den de alta a usuarios. La web esgrimió que ellos no manejaban datos relacionados con la vida sexual, pero para la AEPD está claro que el solo hecho de que el portal se autodefina como “gay y lésbico, destinado al fomento de las relaciones del público homosexual” ya lo dice todo. Por todo ello, la AEPD impuso a la empresa una multa de 90.000 euros.

►► A la web de contactos sancionada jamás le habría pasado lo que le pasó si hubiera sido suscriptora de PractiLetter PROTECCIÓN de DATOS. Porque nuestros suscriptores dominan todo lo referente al consentimiento a través del opt-in, el doble opt-in y el opt-out, y saben cuándo aplicar cada uno sin riesgo de equivocarse. ¿Quiere unirse a nosotros usted también y proteger a su empresa? Haga clic aquí para saber más.