Digi, denunciada ante la Agencia Española de Protección de Datos

Digi, denunciada ante la Agencia Española de Protección de Datos: análisis completo del caso y sus implicaciones para usuarios y operadores

La operadora Digi Spain Telecom vuelve a situarse en el centro del debate sobre privacidad y seguridad digital en España. En las últimas semanas, la compañía ha sido objeto de una denuncia formal ante la Agencia Española de Protección de Datos (AEPD) por parte de la Asociación de Usuarios y Consumidores de Información (ASUI). El motivo: el uso de técnicas de interceptación en el tráfico web de sus clientes durante los bloqueos ordenados por LaLiga y Telefónica, una práctica que podría vulnerar el secreto de las comunicaciones y comprometer la privacidad de los usuarios.

Este artículo analiza en profundidad el caso, explica el contexto técnico y jurídico, y evalúa las posibles consecuencias para Digi y para el sector de las telecomunicaciones en España. Además, se ofrece una visión clara y estructurada para que cualquier usuario pueda comprender qué está ocurriendo y cómo le afecta.

Qué ha ocurrido exactamente: origen de la denuncia contra Digi

La denuncia surge tras la publicación de un informe del observatorio OONI (Open Observatory of Network Interference), una organización internacional dedicada a detectar censura y manipulación del tráfico en internet. Según este informe, Digi habría utilizado técnicas de tipo Man-in-the-Middle (MitM) para interceptar conexiones HTTPS cuando bloquea el acceso a determinadas páginas web durante los partidos de LaLiga.

ASUI considera que esta práctica podría vulnerar el derecho fundamental al secreto de las comunicaciones, protegido por la Constitución Española y por la normativa europea de protección de datos. Por ello, ha solicitado a la AEPD que investigue si Digi ha empleado métodos de interceptación que exceden lo permitido por la legislación vigente.

Qué es un ataque Man-in-the-Middle y por qué preocupa en este caso

El Man-in-the-Middle es una técnica en la que un tercero se interpone entre el usuario y el servidor al que intenta conectarse. En un entorno HTTPS, este tipo de interceptación solo es posible si alguien suplanta el certificado del servidor, lo que provoca que el navegador muestre un aviso de seguridad indicando que el certificado no es válido.

Según el informe de OONI, Digi habría utilizado certificados autofirmados para mostrar a los usuarios un mensaje informativo indicando que la web estaba bloqueada por orden de LaLiga y Telefónica. Aunque Digi argumenta que esta práctica busca cumplir con la obligación de transparencia en los bloqueos, ASUI sostiene que esta técnica implica interceptar el tráfico cifrado, lo que podría considerarse una vulneración del secreto de las comunicaciones.

Por qué Digi utiliza este sistema y qué alternativas existen

Digi afirma que emplea este método para informar al usuario de manera clara y directa de que el acceso a una web ha sido bloqueado por orden judicial o administrativa. Otras operadoras, como Movistar, optan por métodos menos intrusivos, como el blackhole routing, que simplemente hace que la web no cargue sin mostrar ningún mensaje.

El problema es que, para mostrar el aviso, Digi debe suplantar temporalmente al servidor real, lo que puede generar:

  • Alertas de seguridad en el navegador.
  • Desconfianza del usuario hacia la web bloqueada.
  • Impacto negativo en el posicionamiento SEO de sitios legítimos que no tienen relación con LaLiga.
  • Riesgos potenciales para la privacidad si la interceptación no se realiza con garantías suficientes.

ASUI considera que esta práctica puede ser especialmente grave cuando afecta a webs inocentes, como tiendas online o servicios que nada tienen que ver con los contenidos protegidos por derechos audiovisuales.

Qué pide ASUI a la AEPD

La asociación solicita que la AEPD abra una investigación de oficio para determinar:

  • Si Digi ha utilizado técnicas de interceptación que comprometen la privacidad de los usuarios.
  • Si estas prácticas vulneran el secreto de las comunicaciones.
  • Si otras operadoras también emplean métodos similares, especialmente técnicas de Deep Packet Inspection (DPI).

El DPI es una tecnología que permite analizar el contenido del tráfico de red, incluso cuando está cifrado parcialmente, para identificar patrones, tipos de tráfico o destinos. Aunque su uso puede ser legítimo en ciertos contextos, también puede suponer un riesgo para la privacidad si se utiliza sin garantías adecuadas.

Marco legal: qué dice la normativa sobre privacidad y bloqueos en internet

El secreto de las comunicaciones

La Constitución Española reconoce el derecho al secreto de las comunicaciones, que solo puede ser vulnerado mediante resolución judicial. Cualquier interceptación del tráfico sin autorización judicial podría considerarse una infracción grave.

RGPD y LOPDGDD

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD) establecen que los datos personales deben tratarse de forma lícita y transparente. Interceptar tráfico cifrado podría considerarse un tratamiento de datos sin base jurídica suficiente.

Normativa de telecomunicaciones

La Ley 11/2022 General de Telecomunicaciones obliga a los operadores a cumplir con las órdenes de bloqueo, pero también a garantizar la privacidad y seguridad de las comunicaciones de sus clientes.

Antecedentes: Digi y otros procedimientos ante la AEPD

La denuncia de ASUI no es el único procedimiento reciente que afecta a Digi. La operadora ha estado implicada en otros casos relacionados con protección de datos, como:

  • Denegación del derecho de acceso a registros de llamadas entrantes, donde la AEPD obligó a Digi a facilitar la información solicitada por un usuario.
  • Sanciones por deficiencias en la verificación de identidad en casos de fraude y SIM swapping.

Estos antecedentes muestran que la relación entre Digi y la AEPD ha sido especialmente activa en los últimos años, lo que podría influir en la valoración del nuevo caso.

Impacto para los usuarios: cómo puede afectar esta denuncia

1. Seguridad y privacidad

Si la AEPD confirma que Digi ha interceptado tráfico cifrado, podría considerarse una vulneración grave de la privacidad. Esto generaría preocupación entre los usuarios sobre la seguridad de sus comunicaciones.

2. Confianza en la operadora

Las alertas de seguridad en el navegador pueden generar desconfianza hacia Digi, especialmente entre usuarios menos familiarizados con cuestiones técnicas.

3. Posible sanción económica

Si la AEPD determina que ha habido infracción, Digi podría enfrentarse a sanciones importantes, como ya ha ocurrido en otros procedimientos.

4. Cambios en los sistemas de bloqueo

Una resolución en contra podría obligar a Digi a modificar su sistema de avisos, adoptando métodos menos intrusivos.

Implicaciones para el sector de las telecomunicaciones

Este caso podría marcar un precedente importante en España. Si la AEPD determina que las técnicas de interceptación utilizadas por Digi vulneran la normativa, otras operadoras podrían verse obligadas a revisar sus sistemas de bloqueo.

Además, podría abrir un debate más amplio sobre:

  • Cómo deben implementarse los bloqueos ordenados por LaLiga y otras entidades.
  • Qué límites deben respetar los operadores para garantizar la privacidad.
  • Qué tecnologías son aceptables y cuáles no en la gestión del tráfico de red.

Un caso clave para el futuro de la privacidad en España

La denuncia contra Digi ante la AEPD no es un asunto menor. Afecta directamente a la privacidad de millones de usuarios y plantea preguntas importantes sobre cómo deben actuar las operadoras cuando reciben órdenes de bloqueo.

El uso de técnicas de tipo Man-in-the-Middle para mostrar avisos de bloqueo es una práctica controvertida que, aunque busca transparencia, puede comprometer la seguridad y la confianza del usuario. La investigación de la AEPD será determinante para aclarar si Digi ha actuado dentro de la legalidad o si ha vulnerado derechos fundamentales.

En cualquier caso, este procedimiento abre un debate necesario sobre la protección de datos, la neutralidad de la red y los límites de las operadoras en la gestión del tráfico. El resultado podría influir en futuras prácticas del sector y en la forma en que se implementan los bloqueos en internet en España.