WhatsApp y la Politica de Privacidad


Jan Koum, antiguo director del equipo de operaciones de Yahoo!, decidió crear en el año 2009 la empresa WhatsApp y con ella la famosa aplicación. Inicialmente, la App servía simplemente para avisar a los usuarios de la disponibilidad o no de sus contactos con el fin de comunicarse con ellos por distintos medios. Koum supo captar desde el principio la atención de los usuarios de todo el mundo ya que sustituía al clásico servicio de mensajes SMS dando una mejor experiencia en la comunicación. Estaba diseñado siguiendo la filosofía de MSN y Aol, con la única diferencia de que WhatsApp accedía directamente a la libreta de contactos que el usuario guardaba en el teléfono móvil y así evitar una doble lista.

Posiblemente aquel joven ucraniano que emigró a Estados Unidos no supiera la importancia de la aplicación cuando decidió que su registro se realizara introduciendo como nombre de usuario el número de teléfono y como contraseña el algoritmo invertido del IMEI del teléfono móvil en el caso de los dispositivos Android o el de la dirección Mac en los iOS. Esos dos datos siguen siendo imprescindibles para utilizar la aplicación tanto en su versión móvil como PC.

Desde el año de su creación en 2009 hasta su venta a Facebook en 2014, consiguió lo que otras empresas no habían conseguido: recopilar millones de números de teléfono y números de identificación de dispositivos móviles. Mark Zuckerberg supo en seguida el gran potencial que tenía WhatsApp y la utilidad para incorporarla a los demás productos de Facebook. La compra costó 19.000 millones de dólares (frente a los 10.000 millones que ofrecía Google) y hasta mediados del año 2017 la aplicación tenía 1 billón de usuarios, según indican en su Blog, de los cuales se enviaron 55 billones de mensajes, 4,5 billones de imágenes y 1 billón de vídeos al día. Como es de suponer, cada mes aumenta el número. WhatsApp está traducida a 60 idiomas.

Tras la compra de WhatsApp se añadieron nuevas funciones como las llamadas de voz o las videollamadas a través de Internet, reforzando su posición frente a los sistemas convencionales que hasta ahora ofrecen las operadoras de telefonía. Sobre todo para la comunicación de personas situadas en distintos países.

Cambio de filosofía en la privacidad de los usuarios
Jan Koum siempre garantizó la privacidad de los datos personales y así lo declaró en su blog cuando fue vendida a Facebook: “No sabemos cuándo es tu cumpleaños. No tenemos la dirección de tu casa. WhatsApp jamás ha recolectado ni almacenado esa información, y no tenemos planes para cambiar eso”. Sin embargo, Mark Zuckerberg no compartía las mismas ideas y dos años más tarde conectó las cuentas de todos los usuarios de WhatsApp con las de Facebook  a través del nexo común: el número de teléfono. Además, dio un paso más al añadir información analítica con el fin de coordinar la información y mejorar la experiencia del usuario en todos sus productos.

En 2017 se ha confirmado la estrategia de Zuckerberg al lanzar WhatsApp Business, una versión para que las empresas puedan ponerse en contacto con sus clientes. Realmente esto no es novedoso ya que muchas empresas anuncian un número de teléfono móvil para que los usuarios puedan ponerse en contacto a través de la versión normal. Desde el punto de vista de protección de datos, si el cliente envía un primer mensaje a la empresa está aportando voluntariamente un dato personal como es el número de teléfono. No obstante, la empresa debe solicitar permiso para guardar dicho número en una agenda o base de datos para usos posteriores. No es lo mismo que una persona envíe un mensaje de WhatsApp a una empresa pidiendo información puntual sobre un producto o servicio que ser un cliente que desea mantenerse periódicamente informado.

La versión Business, solo disponible para el sistema operativo Android, permite crear un perfil donde muestre información sobre la empresa: sector o actividad, dirección física, localización, horario y una pequeña descripción. Sin embargo, a diferencia de las redes sociales, aún no puede asegurarnos que ese perfil sea realmente el de la empresa que dice ser. Habrá que esperar a futuras actualizaciones para aportar una mayor seguridad.

Una novedad de esta nueva versión es el servicio de estadística que ofrece a las empresas. Por el momento solo muestra el número de mensajes que son enviados, entregados, recibidos y leídos por el usuario. El problema radica en la línea que va a seguir Facebook sobre privacidad y si tiene decidido utilizar más información de los usuarios de WhatsApp como está ocurriendo con su red social para fines de marketing.

La Política de Privacidad de WhatsApp
El 25 de agosto de 2016 se realizó la última modificación de los Términos de servicio y, en base a la legislación actual sobre protección de datos personales y el rumbo estratégico de Facebook, estamos encontrando algunos puntos que deben replantearse.

Inicialmente, la Política de privacidad de WhatsApp se aplica por defecto a todas las “aplicaciones, servicios, funciones, software y sitio web (en conjunto, "Servicios") a menos que se indique lo contrario”. Eso significa que el tratamiento de los datos y los derechos del usuario son iguales en WhatsApp, Facebook, Instagram, etc., por lo que el flujo de intercambio de datos entre los distintos servicios y aplicaciones es continuo. Nuestros datos personales pueden estar por ejemplo en Facebook sin estar registrados en la red social.

El primer párrafo establece perfectamente qué finalidad tiene la aplicación: mensajería, llamadas por internet y “otros servicios a usuarios alrededor del mundo”. Llama la atención el hecho de dejar abierta la puerta a otras utilidades no solo para el usuario sino también para la propia empresa. Es de suponer que esos “otros servicios” se refiere a la comunicación entre empresas y usuarios con la versión WhatsApp Business. No obstante, la empresa de Mark Zuckerberg adquirió la aplicación para integrarla en su red social, por lo que quizás en un futuro no muy lejano la aplicación Facebook Messenger sea sustituida por WhatsApp y la información entre ambos servicios se integre totalmente.

Información recopilada a través del usuario
El primer dato personal que el usuario aporta es en el registro ya que hay que introducir el número de teléfono que sirve como nombre de usuario a la hora de conectarse. No confundir nombre de usuario con el nombre que se pone para que los contactos sepan de quien se trata.

Otro requisito para el registro es proporcionar regularmente los números de teléfono de los usuarios de WhatsApp y los demás contactos que [el usuario tiene] en la libreta de direcciones de [su] teléfono móvil. Este es un aspecto muy delicado ya que según el Reglamento General de Protección de Datos (RGPD), en su artículo 6.1.a) establece que solo será lícito cuando “el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”. El punto número 2 del mismo artículo incluye la obligatoriedad del responsable del tratamiento de demostrar el consentimiento del afectado (responsabilidad proactiva). Esta exigencia se refuerza con el art. 7.1 RGPD. Si nos atenemos a esta norma, para que WhatsApp pueda tener acceso a todos los números de teléfono de otros usuarios y no usuarios guardados en la libreta de contactos es necesario el consentimiento expreso de cada uno de ellos. Actualmente se están accediendo y tratando sin conocimiento de los afectados ya que no se informa a cada uno (art. 12.1 RGPD). Incluso en los Términos no especifica expresamente que los números de teléfono a los que tiene acceso no sean guardados o conservados fuera del dispositivo móvil, como sí hace en el caso de los mensajes. De hecho, cuando se crean listas de contactos favoritos, grupos o listas de difusión, la información se asocia con la cuenta y se guarda en los servidores ubicados fuera de España. Esto lo he podido comprobar varias veces al resetear el teléfono móvil para borrar todo su contenido y restablecer los valores de fábrica. Cuando nuevamente he instalado WhatsApp y no he restaurado ninguna copia de seguridad, inmediatamente han aparecido los grupos con sus respectivos usuarios.

Como ya se ha comentado, los mensajes son información que también proporciona el usuario. Aunque existe un sistema de cifrado entre el dispositivo móvil emisor y receptor, la información se transmite directamente sin ser almacenada. No obstante, cabe la posibilidad de que sean guardados los mensajes, fotos, vídeos, mensajes de voz, documentos e información de la ubicación durante 30 días si el destinatario no los recibe. Si transcurrido ese tiempo no se entrega, la información es suprimida. En el caso de que un mensaje multimedia (fotografía, vídeo, mensaje de voz) lo compartan muchas personas, suele guardarse en los servidores durante un período de tiempo superior a los 30 días a fin de “mejorar el rendimiento” y entregarlo eficazmente.

Datos recopilados automáticamente
A través de procesos automatizados se recopilan datos con el objeto de “ofrecer un servicio de atención al cliente, así como mejorar, solucionar y personalizar nuestros Servicios”; verificar cuentas e investigar actividades sospechosas o infracciones de los Términos; y aportar información sobre los servicios de WhatsApp y demás productos de Facebook.

Los datos que se extraen y almacenan, siempre vinculados al número de teléfono que se aportó al registrarse, son:

- Información relacionada con el rendimiento, diagnóstico y servicio: actividad del usuario, su interacción con otros a través de los chat o grupos, archivos de registro, rendimiento y páginas web a las que el usuario accede cuando recibe un link.

- En caso de pagar servicios de WhatsApp, se guarda información sobre la transacción. También se guarda las compras de las tiendas de aplicaciones o terceros que procesen el pago.

- Información del dispositivo: modelo de hardware, sistema operativo, navegador, dirección IP, red móvil, indicadores del dispositivo, ubicación del dispositivo.

- Información sobre los cambios de mensaje de estado y en línea: “estado de conexión”, “última conexión” o “última actualización”.

- Información que otras personas proporcionan a WhatsApp sobre el usuario. Cuando varias personas se intercambian mensajes, la empresa no solo relaciona ambos usuarios, también cruza los datos recopilados.

- Información que proveedores externos y servicios de terceros proporcionan: WhatsApp y, por extensión, Facebook trabajan con otras empresas que les ayuda a comercializar sus servicios, realizar pagos, analizar el comportamiento y hábitos de los usuarios, etc. Esa información personal que esas otras empresas recopilan es almacenada en los servidores de Facebook. Tal es el caso de iCloud o Google Drive cuando realizamos una copia de seguridad en la nube.

- Información que recopilan las empresas que componen Facebook: Facebook Payments Inc., Atlas Solutions, Instagram LLC, Onavo, Moves App, Oculus, WhatsApp Inc., Masquerade y CrowdTangle.

Administración de la información personal
A través de la opción “Ajustes -> Cuenta -> Privacidad” se puede modificar la siguiente información:

- Hora de última vez
- Foto de perfil
- Información
- Estado

En cada uno de ellos puede elegirse que la información pueda ser vista por todos, por los contactos que se tenga en la libreta o por nadie. También está la opción de activar o desactivar la “Confirmación de lectura” cuando el receptor lee el mensaje. Cuando se configura alguno de los apartados para que nadie lo vea la aplicación informa que tampoco se podrá ver la información de los demás. Así, por ejemplo, en el caso de que no quiera mostrarse la “Hora de última vez” y la “Confirmación de lectura”, tampoco podrá saber cuándo se conectaron los demás la última vez y si llegaron a ver el mensaje.

Volviendo a “Ajustes” existe la opción de cambiar la fotografía, el nombre e información.

Otra opción importante es la posibilidad de conservar toda la información aunque se cambie de número de teléfono y dispositivo móvil. Simplemente con hacer una copia de seguridad (en una tarjeta de memoria o en la nube) y cambiar de número en la opción “Ajustes -> Cuenta -> Cambiar número”. En este caso WhatsApp deja de asociarlo con toda la información recopilada anteriormente y la asocia con el nuevo número.

Ahora bien, aunque se desinstale la aplicación del teléfono móvil no significa que todos los datos personales se borren de los servidores de WhatsApp. Hay que acceder a “Ajustes -> Cuenta - > Eliminar mi cuenta” para darse de baja totalmente y eliminar toda la información no entregada así como la información que WhatsApp ha recopilado. En este sentido, el artículo 17 RGPD establece el conocido “Derecho de supresión” o “Derecho al olvido”, consistente en “obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan [al interesado], el cual estará obligado a suprimir sin dilación indebida los datos personales”. Así, una vez que se elimina la cuenta de WhatsApp no puede haber ningún dato de carácter personal o información asociada en poder de la empresa.

Pero, ¿qué sucede con la información guardada en Facebook y demás empresas del grupo? El mismo artículo 17 en su apartado 2 de la RGPD ordena expresamente que el responsable del tratamiento, en este caso WhatsApp, “teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos”. Es decir, que todos están obligados a borrar la información que WhatsApp aportó durante el servicio de mensajería, independientemente de que siga siendo usuario de Facebook, Instagram, etc.

Edad para utilizar los Servicios de WhatsApp
En el apartado “Acerca de nuestros servicios” se establece la condición de tener por lo menos 13 años de edad (o la edad mínima establecida en el país) para poder utilizar la aplicación. En el caso de España, la edad mínima es de 14 aunque se está planteando rebajarla a los 13 años. En caso de no tener la edad mínima exigida es necesaria la aprobación de los padres o tutores. ¿De qué forma se hace? En la Política de Privacidad no especifica qué medio puede emplearse para la aprobación, lo que lleva a plantear que se realice por escrito, aportando la documentación necesaria para probar que es el progenitor o tutor legal y enviándolo por correo postal o electrónico a la dirección que figura en la Política de Privacidad.

Deber de información sobre las Políticas de Privacidad
En el punto 5 del apartado “Otros” de la Política de Privacidad establece: “Nuestros Términos están escritos en inglés de los Estados Unidos. Cualquier versión traducida se proporciona exclusivamente para tu conveniencia. En caso de que existan discrepancias entre la versión original en inglés y una versión traducida de nuestros Términos, la versión original en inglés es el documento vinculante”. Actualmente el RGPD especifica en su artículo 7.2 que, para un consentimiento legal, es necesario que el interesado sea informado de forma clara, inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. En el caso de los Términos de WhatsApp, dicho punto o párrafo quinto contraviene las normas europeas en materia de protección de datos ya que la versión traducida a un idioma distinto del inglés de los Estados Unidos debe contener la misma información. Un error de traducción o una falsa interpretación lingüística de los Términos supone informar mal al usuario y, por tanto, conseguir un consentimiento viciado o inválido.

Contacto
En cualquier caso, para ejercer los derechos de Acceso, Rectificación, Cancelación, Oposición y Supresión, se puede dirigir a la siguiente dirección:

WhatsApp Inc.
Privacy Policy
1601 Willow Road
Menlo Park, California 94025
Estados Unidos de América