El Informe 0482/2011 de la Agencia Española de Protección de Datos (AEPD) aborda la conformidad de un procedimiento de monitorización de mensajes SMS con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y su Reglamento de desarrollo. Este procedimiento tiene como objetivo identificar mensajes SMS que supongan una suplantación de identidad en comunicaciones remitidas por entidades bancarias a sus clientes.
El procedimiento descrito implica varias fases sucesivas de tratamiento de datos:
1. **Facilitación de datos identificativos**: Las entidades bancarias proporcionan a la consultante los datos identificativos de los centros servidores de SMS desde los cuales habitualmente remiten mensajes a sus clientes.
2. **Rastreo y contraste de mensajes**: La consultante rastrea los mensajes que contengan la cabecera de la entidad financiera, contrastando su procedencia. Si la cabecera no procede de un centro servidor declarado por la entidad, se procede a la siguiente fase.
3. **Aplicación de función HASH**: Sobre los números destinatarios de los mensajes sospechosos, se aplica una función HASH, remitiendo el resultado a la entidad financiera. Esta función permite a la entidad identificar posibles números telefónicos afectados por la suplantación.
El informe destaca que la función HASH no permite la identificación unívoca de un número telefónico, sino que puede asociarse a varios números, lo que dificulta la identificación directa de los afectados. Además, se establecen medidas de seguridad para evitar el mal uso de la herramienta, como la modificación mensual de la función HASH y la exigencia contractual de que las entidades solo apliquen la función a los números de sus clientes.
La AEPD concluye que los datos referidos a los centros servidores de SMS no se corresponden con personas físicas, por lo que no están sujetos a la normativa de protección de datos. Asimismo, el dato resultante de la aplicación de la función HASH no permite la identificación directa de los números telefónicos, lo que también excluye su consideración como datos de carácter personal.
En cuanto al tratamiento de datos por parte de las entidades financieras, se considera amparado por el artículo 6.2 de la Ley Orgánica 15/1999, que permite el tratamiento de datos sin consentimiento cuando sean necesarios para el mantenimiento o cumplimiento de una relación contractual. No obstante, las entidades deben informar a sus clientes sobre este tratamiento.
Finalmente, el informe concluye que el tratamiento de datos de tráfico por parte de la consultante para detectar fraudes está amparado por la legislación vigente, siempre que se cumplan las condiciones y medidas de seguridad descritas. En resumen, la actividad descrita en la consulta no resulta contraria a la Ley Orgánica 15/1999, siempre que se implementen las medidas de seguridad adecuadas.