Esta supercookie estuvo hactiva hasta septiembre de 2015 y para toda navegación realizada desde terminales móviles de modo que se enviaba una cabecera de navegación con un identificador (un número de serie podemos decir) que identificaba a ese cliente tanto para movistar como para cualquier página web de destino. Por ello, la AEPD impuso una multa de 20.000 euros.
Como la propia AEPD aclaraba, en su nota explicaba que Movistar estaba realizando esto sin consentimiento ni conocimiento de los clientes y que lo estaba haciendo no sólo a usuarios Premium, sinó a todos los usuarios indistintamente (la finalidad al aprecer era solo para usar sobre usuarios de servicios extra).
Todo partió desde los propios foros de la página de Movistar, donde un usuario tituló “Movistar rastrea los sitios web que visito con supercookies” y en él mismo pregunta a Movistar si se estaba añadiendo un identificador único en las cabeceras cuando se navegaba por páginas web. La respuesta del servicio de Movistar fué la siguiente:
Lo primero de todo, disculpad la demora en responder. (Emoticono avergonzado).
Tras realizar la consulta, nos confirman que Movistar utiliza el “enriquecimiento de cabeceras” para un número limitado de servicios con los que existen acuerdos comerciales y a los que el usuario está suscrito, como servicios de suscripción Premium, pagos movistar, etc. donde es necesario facilitar una identificación del cliente para poder prestar el servicio.
En ningún caso, a partir de esos datos, Movistar proporciona información personal ni se utiliza para crear perfiles de navegación ni rastrear el comportamiento del cliente en internet.. :smileywink:
En el caso concreto que ha sancionado la Agencia Española de Protección de Datos (AEPD), Movistar estaba añadiendo dos cabeceras extra en cada comunicación, identificadas como “x-up-subno” y “TM user-id”, con el objetivo de “sostener el modelo de negocio de contenidos Premium”. Esto es, según se desprende de la resolución sancionadora, para facilitar la suscripción a servicios Premium desde el terminal móvil (por ejemplo a sevicios SMS Premium) Movistar enviaba, de forma indiscriminada y a todas las páginas webs que sus clientes visitarán, determinada información específica e identificativa de su cliente para que Movistar pudiera facturar los servicios contratados por su cliente a la plataforma del tercero que presta el servicio premium.
El problema, no fué pues, utlizar esas cabeceras sinó hacerlo en todas las comunicaciones y de todos los usuarios, sin informar de ello ni pedir consentimiento (en el caso de quienes no tenían servicios extra contratados).
Mas info (y sentencia de la AEPD): https://www.samuelparra.com/2016/09/19/movistar-sancionada-por-utilizar-supercookies-en-todos-sus-clientes/