Hay un aspecto del que
apenas se habla y afecta directamente a la privacidad de las personas físicas:
¿qué ocurre con la información contenida en teléfonos móviles, smartphone,
tablet, portátiles y ordenadores de
sobremesa cuando se llevan a un Servicio Técnico para su reparación?
En primer lugar hay que
diferenciar dos tipos de datos:
1. Datos personales
esenciales para llevar a cabo un determinado servicio: nombre, apellidos,
dirección, teléfono, correo electrónico, descripción del equipo o dispositivo a
reparar y descripción de la avería.
2. Información contenida
en el equipo o dispositivo objeto de reparación: contactos, documentos de
texto, imágenes, vídeos, nombres de usuario y contraseñas, etc.
En el caso de los datos
personales, contamos con el Reglamento General de Protección de Datos a nivel
europeo y la Ley Orgánica de Protección de Datos con su respectivo reglamento. Estas
tres leyes regulan la recogida, almacenamiento y tratamiento de datos
personales por parte de una persona física o jurídica, autoridad pública,
servicio u otro organismo (art. 4.7) y
8) RGPD). Por consiguiente,
hablamos de información personal que terceras personas tratan con fines determinados,
explícitos y legítimos (art. 5 RGPD), datos obtenidos con el expreso consentimiento
del afectado (art. 6 RGPD y art. 5.1 LOPD).
Por lo que respecta al
segundo caso, la información contenida en un equipo o dispositivo está
protegida en el Código penal español
en el artículo 197.
Deber de información y consentimiento expreso
Para que el personal del
Servicio Técnico pueda llevar a cabo el trabajo es necesario que previamente el
usuario preste su consentimiento. Para ello hay que informar de:
- La necesidad de recopilar
y almacenar los datos de contacto, características del equipo o dispositivo y el
tipo de avería.
- La necesidad de acceder
a información estrictamente técnica para el correcto trabajo de reparación.
- La posibilidad de
pérdida de datos durante el transcurso de la reparación. En este caso, habrá
que pedir autorización para volcar todos los datos a un soporte externo como
copia de seguridad y, una vez reparado, volver a volcar toda la información en
el equipo o dispositivo.
El artículo 7.1 RGPD establece
que “el responsable deberá ser capaz de
demostrar que [el cliente] consintió el tratamiento de sus datos personales”,
por lo que es aconsejable que se informe por escrito y sea firmado por el
propio cliente.
Seguridad de los datos y revelación de información
El RGPD en su art. 5.1.f)
establece la obligación de tratar los datos de forma que “se garantice una seguridad adecuada de los datos personales, incluida
la protección contra el tratamiento no autorizado o ilícito y contra su
pérdida, destrucción o daño accidental, mediante la aplicación de medidas
técnicas u organizativas apropiadas («integridad y confidencialidad»)”. Junto
a las medidas de seguridad, “el
responsable del fichero y quienes intervengan en cualquier fase del tratamiento
de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de
guardarlos, obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el responsable del
mismo”, art. 10 LOPD.
Esta exigencia es
extensiva, no solo a la información personal que se almacena en una base de
datos, también a la información contenida en los equipos o dispositivos.
La razón para tomar todas
las medidas de seguridad y guardar el deber de secreto la encontramos en el artículo 197 del Código penal español que indica claramente la prohibición de:
- Descubrir o vulnerar la
intimidad de otro.
- Apoderarse de sus papeles,
cartas, mensajes de correo electrónico o cualesquiera otros documentos o
efectos personales.
- Interceptar sus
telecomunicaciones o utilizar artificios técnicos de escucha, transmisión, grabación
o reproducción del sonido o de la imagen, o de cualquier otra señal de
comunicación.
- Apoderarse, utilizar o
modificar, en perjuicio de tercero, datos reservados de carácter personal o
familiar de otro que se hallen registrados en ficheros o soportes informáticos,
electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro
público o privado.
En el caso de que el cliente
diera su consentimiento para volcar los datos a otro soporte con el fin de
crear una copia de seguridad que salvaguarde la información mientras se realiza
la reparación, el personal técnico deberá llevar a cabo un protocolo de
actuación para asegurar la protección de la información. Una vez vuelven los
datos a los soportes originales, las copias deberán ser eliminadas de tal forma
que no puedan restaurarse. La simpe supresión o formateo no siempre son seguros
ya que permiten restaurar todo o parte de la información de un archivo, por lo
que suele utilizarse distintos métodos de borrado: NSA, DoD, Números
aleatorios, BSI/VSITR, Gutmman.
La vulneración del deber
de secreto lleva una pena de prisión de uno a cuatro años y una multa de doce a
veinticuatro meses.
Estas obligaciones
afectan a los responsables y encargados del fichero de datos y personal técnico
autorizado para realizar el servicio (art.
197.4.a) Código penal español).
Deber de denunciar
Como ya se ha dicho
anteriormente, el personal técnico solo podrá acceder a la información estrictamente
necesaria para desempeñar bien su trabajo. Esto significa que no puede ver
acceder al contenido de documentos, archivos de vídeo, audio, imágenes, conversaciones
de mensajería instantánea o correo electrónico sin el consentimiento del
cliente.
Sin embargo, si durante
el proceso de reparación se tuviera “noticia de algún delito público”, el
personal del Servicio Técnico está obligado a “denunciarlo denunciarlo
inmediatamente al Ministerio fiscal, al Tribunal competente, al Juez de
instrucción y, en su defecto, al municipal o al funcionario de policía más
próximo al sitio” (art. 262 Ley de Enjuiciamiento Criminal).
Esta situación es muy
delicada puesto que el personal técnico se encuentra en una línea entre el
derecho a la privacidad y la sospecha de un posible delito. Los casos que más
se están dando a conocer son los de pornografía infantil y ciberacoso. Los
técnicos deben trabajar con extrema precaución y justificar cada paso que dan
para acceder a dicho contenido. De esta forma las pruebas serían válidas ante
el Juez de Instrucción.
Precauciones
Es cada vez más frecuente
llevar teléfonos móviles o smartphones para liberarlos, esto es, modificar el
sistema del dispositivo móvil para que pueda utilizarse con cualquier operador
de telefonía; también se está poniendo de moda modificar el sistema operativo para
conseguir el control total (rootear).
En todos los casos, el
técnico que lleva a cabo la modificación puede introducir códigos malignos que
infecten el teléfono o smartphone o copiar datos como el IMEI (número de
identificador único). Por este motivo se recomienda acudir a un Servicio
Técnico oficial especializado, que cuente con todas las garantías de seguridad.