Jan Koum, antiguo director del equipo de operaciones de Yahoo!, decidió crear en el año 2009 la empresa WhatsApp y con ella la famosa
aplicación. Inicialmente, la App servía simplemente para avisar a los usuarios
de la disponibilidad o no de sus contactos con el fin de comunicarse con ellos
por distintos medios. Koum supo
captar desde el principio la atención de los usuarios de todo el mundo ya que
sustituía al clásico servicio de mensajes SMS
dando una mejor experiencia en la comunicación. Estaba diseñado siguiendo la
filosofía de MSN y Aol, con la única diferencia de que WhatsApp accedía
directamente a la libreta de contactos que el usuario guardaba en el teléfono
móvil y así evitar una doble lista.
Posiblemente aquel joven
ucraniano que emigró a Estados Unidos no supiera la importancia de la
aplicación cuando decidió que su registro se realizara introduciendo como
nombre de usuario el número de teléfono y como contraseña el algoritmo
invertido del IMEI del teléfono
móvil en el caso de los dispositivos Android
o el de la dirección Mac en los iOS. Esos dos datos siguen siendo
imprescindibles para utilizar la aplicación tanto en su versión móvil como PC.
Desde el año de su
creación en 2009 hasta su venta a Facebook
en 2014, consiguió lo que otras empresas no habían conseguido: recopilar
millones de números de teléfono y números de identificación de dispositivos
móviles. Mark Zuckerberg supo en
seguida el gran potencial que tenía WhatsApp
y la utilidad para incorporarla a los demás productos de Facebook. La compra costó 19.000
millones de dólares (frente a los 10.000 millones que ofrecía Google) y
hasta mediados del año 2017 la aplicación tenía 1 billón de usuarios, según
indican en su Blog, de los cuales se
enviaron 55 billones de mensajes, 4,5 billones de imágenes y 1 billón de vídeos
al día. Como es de suponer, cada mes aumenta el número. WhatsApp está traducida
a 60 idiomas.
Tras la compra de
WhatsApp se añadieron nuevas funciones como las llamadas de voz o las
videollamadas a través de Internet, reforzando su posición frente a los
sistemas convencionales que hasta ahora ofrecen las operadoras de telefonía.
Sobre todo para la comunicación de personas situadas en distintos países.
Cambio de filosofía en la privacidad de los
usuarios
Jan Koum siempre
garantizó la privacidad de los datos personales y así lo declaró en su blog
cuando fue vendida a Facebook: “No
sabemos cuándo es tu cumpleaños. No tenemos la dirección de tu casa. WhatsApp
jamás ha recolectado ni almacenado esa información, y no tenemos planes para
cambiar eso”. Sin embargo, Mark Zuckerberg no compartía las mismas ideas y
dos años más tarde conectó las cuentas de todos los usuarios de WhatsApp con
las de Facebook a través del nexo común:
el número de teléfono. Además, dio un paso más al añadir información analítica
con el fin de coordinar la información y mejorar la experiencia del usuario en
todos sus productos.
En 2017 se ha confirmado
la estrategia de Zuckerberg al lanzar
WhatsApp Business, una versión para que las empresas puedan ponerse en
contacto con sus clientes. Realmente esto no es novedoso ya que muchas empresas
anuncian un número de teléfono móvil para que los usuarios puedan ponerse en
contacto a través de la versión normal. Desde el punto de vista de protección
de datos, si el cliente envía un primer mensaje a la empresa está aportando
voluntariamente un dato personal como es el número de teléfono. No obstante, la
empresa debe solicitar permiso para guardar dicho número en una agenda o base
de datos para usos posteriores. No es lo mismo que una persona envíe un mensaje
de WhatsApp a una empresa pidiendo información puntual sobre un producto o
servicio que ser un cliente que desea mantenerse periódicamente informado.
La versión Business, solo disponible para el
sistema operativo Android, permite crear un perfil donde muestre información
sobre la empresa: sector o actividad, dirección física, localización, horario y
una pequeña descripción. Sin embargo, a diferencia de las redes sociales, aún
no puede asegurarnos que ese perfil sea realmente el de la empresa que dice
ser. Habrá que esperar a futuras actualizaciones para aportar una mayor
seguridad.
Una novedad de esta nueva
versión es el servicio de estadística que ofrece a las empresas. Por el momento
solo muestra el número de mensajes que son enviados, entregados, recibidos y
leídos por el usuario. El problema radica en la línea que va a seguir Facebook
sobre privacidad y si tiene decidido utilizar más información de los usuarios
de WhatsApp como está ocurriendo con su red social para fines de marketing.
La Política de Privacidad de WhatsApp
El 25 de agosto de 2016 se realizó la última modificación de los Términos de servicio y, en base a la
legislación actual sobre protección de datos personales y el rumbo estratégico
de Facebook, estamos encontrando algunos puntos que deben replantearse.
Inicialmente, la Política de privacidad de WhatsApp se
aplica por defecto a todas las “aplicaciones, servicios, funciones, software y
sitio web (en conjunto, "Servicios") a menos que se indique lo
contrario”. Eso significa que el tratamiento de los datos y los derechos del
usuario son iguales en WhatsApp, Facebook, Instagram, etc., por lo que el flujo
de intercambio de datos entre los distintos servicios y aplicaciones es
continuo. Nuestros datos personales pueden estar por ejemplo en Facebook sin
estar registrados en la red social.
El primer párrafo
establece perfectamente qué finalidad tiene la aplicación: mensajería, llamadas
por internet y “otros servicios a
usuarios alrededor del mundo”. Llama la atención el hecho de dejar abierta
la puerta a otras utilidades no solo para el usuario sino también para la
propia empresa. Es de suponer que esos “otros servicios” se refiere a la
comunicación entre empresas y usuarios con la versión WhatsApp Business. No
obstante, la empresa de Mark Zuckerberg adquirió la aplicación para integrarla
en su red social, por lo que quizás en un futuro no muy lejano la aplicación
Facebook Messenger sea sustituida por WhatsApp y la información entre ambos
servicios se integre totalmente.
Información recopilada a través del usuario
El primer dato personal
que el usuario aporta es en el registro ya que hay que introducir el número de teléfono que sirve como
nombre de usuario a la hora de conectarse. No confundir nombre de usuario con
el nombre que se pone para que los contactos sepan de quien se trata.
Otro requisito para el
registro es proporcionar regularmente los números de teléfono de los usuarios
de WhatsApp y los demás contactos que [el usuario tiene] en la libreta de
direcciones de [su] teléfono móvil. Este es un aspecto muy delicado ya que
según el Reglamento General de Protección
de Datos (RGPD), en su artículo 6.1.a)
establece que solo será lícito cuando “el
interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos”. El punto número 2 del mismo artículo incluye la obligatoriedad del
responsable del tratamiento de demostrar el consentimiento del afectado (responsabilidad proactiva). Esta
exigencia se refuerza con el art. 7.1
RGPD. Si nos atenemos a esta norma,
para que WhatsApp pueda tener acceso a todos los números de teléfono de otros
usuarios y no usuarios guardados en la libreta de contactos es necesario el
consentimiento expreso de cada uno de ellos. Actualmente se están accediendo y
tratando sin conocimiento de los afectados ya que no se informa a cada uno (art. 12.1 RGPD). Incluso en los Términos
no especifica expresamente que los números de teléfono a los que tiene acceso
no sean guardados o conservados fuera del dispositivo móvil, como sí hace en el
caso de los mensajes. De hecho, cuando se crean listas de contactos favoritos,
grupos o listas de difusión, la información se asocia con la cuenta y se guarda
en los servidores ubicados fuera de España. Esto lo he podido comprobar varias
veces al resetear el teléfono móvil para borrar todo su contenido y restablecer
los valores de fábrica. Cuando nuevamente he instalado WhatsApp y no he
restaurado ninguna copia de seguridad, inmediatamente han aparecido los grupos
con sus respectivos usuarios.
Como ya se ha comentado,
los mensajes son información que también proporciona el usuario. Aunque existe
un sistema de cifrado entre el dispositivo móvil emisor y receptor, la
información se transmite directamente sin ser almacenada. No obstante, cabe la
posibilidad de que sean guardados los mensajes, fotos, vídeos, mensajes de voz,
documentos e información de la ubicación durante 30 días si el destinatario no
los recibe. Si transcurrido ese tiempo no se entrega, la información es
suprimida. En el caso de que un mensaje multimedia (fotografía, vídeo, mensaje
de voz) lo compartan muchas personas, suele guardarse en los servidores durante
un período de tiempo superior a los 30 días a fin de “mejorar el rendimiento” y
entregarlo eficazmente.
Datos recopilados automáticamente
A través de procesos
automatizados se recopilan datos con el objeto de “ofrecer un servicio de atención al cliente, así como mejorar,
solucionar y personalizar nuestros Servicios”; verificar cuentas e
investigar actividades sospechosas o infracciones de los Términos; y aportar información sobre los servicios de WhatsApp y
demás productos de Facebook.
Los datos que se extraen
y almacenan, siempre vinculados al número de teléfono que se aportó al
registrarse, son:
- Información relacionada
con el rendimiento, diagnóstico y servicio: actividad del usuario, su
interacción con otros a través de los chat o grupos, archivos de registro,
rendimiento y páginas web a las que el usuario accede cuando recibe un link.
- En caso de pagar
servicios de WhatsApp, se guarda información sobre la transacción. También se
guarda las compras de las tiendas de aplicaciones o terceros que procesen el
pago.
- Información del
dispositivo: modelo de hardware, sistema operativo, navegador, dirección IP,
red móvil, indicadores del dispositivo, ubicación del dispositivo.
- Información sobre los
cambios de mensaje de estado y en línea: “estado de conexión”, “última
conexión” o “última actualización”.
- Información que otras
personas proporcionan a WhatsApp sobre el usuario. Cuando varias personas se
intercambian mensajes, la empresa no solo relaciona ambos usuarios, también
cruza los datos recopilados.
- Información que
proveedores externos y servicios de terceros proporcionan: WhatsApp y, por
extensión, Facebook trabajan con otras empresas que les ayuda a comercializar
sus servicios, realizar pagos, analizar el comportamiento y hábitos de los
usuarios, etc. Esa información personal que esas otras empresas recopilan es
almacenada en los servidores de Facebook. Tal es el caso de iCloud o Google
Drive cuando realizamos una copia de seguridad en la nube.
- Información que
recopilan las empresas que componen Facebook: Facebook Payments Inc., Atlas
Solutions, Instagram LLC, Onavo, Moves App, Oculus, WhatsApp Inc., Masquerade y CrowdTangle.
Administración de la información personal
A través de la opción “Ajustes -> Cuenta -> Privacidad”
se puede modificar la siguiente información:
- Hora de última vez
- Foto de perfil
- Información
- Estado
En cada uno de ellos
puede elegirse que la información pueda ser vista por todos, por los contactos
que se tenga en la libreta o por nadie. También está la opción de activar o
desactivar la “Confirmación de lectura”
cuando el receptor lee el mensaje. Cuando se configura alguno de los apartados
para que nadie lo vea la aplicación informa que tampoco se podrá ver la
información de los demás. Así, por ejemplo, en el caso de que no quiera mostrarse
la “Hora de última vez” y la “Confirmación de lectura”, tampoco podrá
saber cuándo se conectaron los demás la última vez y si llegaron a ver el
mensaje.
Volviendo a “Ajustes” existe la opción de cambiar la
fotografía, el nombre e información.
Otra opción importante es
la posibilidad de conservar toda la información aunque se cambie de número de
teléfono y dispositivo móvil. Simplemente con hacer una copia de seguridad (en
una tarjeta de memoria o en la nube) y cambiar de número en la opción “Ajustes -> Cuenta -> Cambiar número”.
En este caso WhatsApp deja de asociarlo con toda la información recopilada anteriormente
y la asocia con el nuevo número.
Ahora bien, aunque se
desinstale la aplicación del teléfono móvil no significa que todos los datos
personales se borren de los servidores de WhatsApp. Hay que acceder a “Ajustes -> Cuenta - > Eliminar mi
cuenta” para darse de baja totalmente y eliminar toda la información no
entregada así como la información que WhatsApp ha recopilado. En este sentido,
el artículo 17 RGPD establece el conocido “Derecho de supresión” o “Derecho
al olvido”, consistente en “obtener sin dilación indebida del
responsable del tratamiento la supresión de los datos personales que le
conciernan [al interesado], el cual estará obligado a suprimir sin dilación
indebida los datos personales”. Así, una vez que se elimina la cuenta de
WhatsApp no puede haber ningún dato de carácter personal o información asociada
en poder de la empresa.
Pero, ¿qué sucede con la
información guardada en Facebook y demás empresas del grupo? El mismo artículo 17 en su apartado 2 de la RGPD ordena
expresamente que el responsable del tratamiento, en este caso WhatsApp, “teniendo en cuenta la tecnología disponible
y el coste de su aplicación, adoptará medidas razonables, incluidas medidas
técnicas, con miras a informar a los responsables que estén tratando los datos
personales de la solicitud del interesado de supresión de cualquier enlace a
esos datos personales, o cualquier copia o réplica de los mismos”. Es
decir, que todos están obligados a borrar la información que WhatsApp aportó
durante el servicio de mensajería, independientemente de que siga siendo
usuario de Facebook, Instagram, etc.
Edad para utilizar los Servicios de WhatsApp
En el apartado “Acerca de nuestros servicios” se
establece la condición de tener por lo menos 13 años de edad (o la edad mínima
establecida en el país) para poder utilizar la aplicación. En el caso de
España, la edad mínima es de 14 aunque se está planteando rebajarla a los 13
años. En caso de no tener la edad mínima exigida es necesaria la aprobación de
los padres o tutores. ¿De qué forma se hace? En la Política de Privacidad no
especifica qué medio puede emplearse para la aprobación, lo que lleva a
plantear que se realice por escrito, aportando la documentación necesaria para
probar que es el progenitor o tutor legal y enviándolo por correo postal o
electrónico a la dirección que figura en la Política de Privacidad.
Deber de información sobre las Políticas de
Privacidad
En el punto 5 del
apartado “Otros” de la Política de
Privacidad establece: “Nuestros Términos
están escritos en inglés de los Estados Unidos. Cualquier versión traducida se
proporciona exclusivamente para tu conveniencia. En caso de que existan
discrepancias entre la versión original en inglés y una versión traducida de
nuestros Términos, la versión original en inglés es el documento vinculante”.
Actualmente el RGPD especifica en su artículo 7.2 que, para un
consentimiento legal, es necesario que el interesado sea informado de forma clara, inteligible y de fácil
acceso y utilizando un lenguaje claro y sencillo. En el caso de los
Términos de WhatsApp, dicho punto o párrafo quinto contraviene las normas
europeas en materia de protección de datos ya que la versión traducida a un
idioma distinto del inglés de los Estados Unidos debe contener la misma información.
Un error de traducción o una falsa interpretación lingüística de los Términos supone informar mal al usuario
y, por tanto, conseguir un consentimiento viciado o inválido.
Contacto
En cualquier caso, para
ejercer los derechos de Acceso, Rectificación, Cancelación, Oposición y
Supresión, se puede dirigir a la
siguiente dirección:
WhatsApp Inc.
Privacy Policy
1601 Willow Road
Menlo Park, California
94025
Estados Unidos de América