Antes de que el Reglamento
General de Protección de Datos fuera de obligado cumplimiento publicamos un
artículo en el mes de marzo sobre la Política de Privacidad de WhatsApp. A pesar de las
irregularidades de Facebook
decidimos centrar la atención en la aplicación de mensajería por un motivo
importante: para registrarse no solo hay que dar el número de teléfono del
usuario sino también permitir el acceso completo a la libreta de contactos.
Como ya se sabe WhatsApp pertenece al grupo de Facebook
junto con Facebook Payments Inc., Atlas Solutions, Instagram LLC, Onavo, Moves App, Oculus, Masquerade y CrowdTangle.
El artículo se realizó en base a la versión de actualización
del 25 de agosto de 2016. Por entonces no tenía que someterse a las directrices
del RGPD ya que la Unión Europea daba de plazo hasta el 25 de mayo de 2018 para
que las empresas se adaptaran.
A día de hoy la última modificación de las Condiciones de Servicio de WhatsApp es
de 24 de abril de 2018, lo que no
está actualizado ni adaptado al RGPD.
¿Por qué debemos
centrar la atención en WhatsApp y no en Facebook?
La razón es muy sencilla: a nivel mundial hay más usuarios
utilizando WhatsApp que Facebook o Instagram. A través de la aplicación de
mensajería el grupo Facebook se obtiene más información personal del usuario y,
lo más preocupante, de terceras personas que no han dado su consentimiento (artículo 6 del RGPD).
Según el apartado “Información sobre nuestros servicios” se dice expresamente:
“Libreta de
direcciones. De conformidad con todas las leyes pertinentes, debes
proporcionarnos regularmente los números de teléfono de los usuarios de
WhatsApp y del resto de los contactos que tienes en la libreta de direcciones
de tu móvil, incluidos los usuarios de nuestros Servicios y tus otros contactos.”
Para la legislación europea solo puede obtenerse datos de
carácter personal a través del interesado siempre y cuando dé su
consentimiento. En caso de obtenerlos por otros medios, el responsable del tratamiento
debe notificarlo a cada uno de los interesados para obtener la aprobación.
Por tanto, si WhatsApp
obtiene los números de teléfono, direcciones, correos electrónicos y demás
información contenida en la libreta de direcciones sin el consentimiento del
interesado, está incumpliendo el RGPD.
La situación empeora si además distribuye la información
hacia productos y servicios de terceros, incluidos los del grupo de Facebook:
“Servicios de
terceros. Nuestros Servicios pueden permitirte acceder, usar o interactuar
con sitios web, aplicaciones, contenido, otros productos y servicios de
terceros, y a productos de las empresas de Facebook. Por ejemplo, puedes optar
por usar servicios de copia de seguridad de datos de terceros (como iCloud o
Google Drive) que se integran con nuestros Servicios o interactúan con un botón
para compartir contenido en el sitio web de un tercero que te permita enviar
información a tus contactos de WhatsApp. Ten en cuenta que estas Condiciones y
la Política de privacidad solo se aplican al uso de nuestros Servicios. Cuando
uses servicios de terceros o productos de las empresas de Facebook, el uso que
hagas de ellos se regirá según sus propias condiciones y políticas de privacidad.”
Esto significa que si se producen filtraciones o brechas de
seguridad en Facebook, no solo queda al descubierto información personal de
usuarios de la red social, también de otras personas que no utilizan este
servicio al haberse obtenido a través de la libreta de direcciones de WhatsApp.
Opciones de seguridad
de Facebook
Si bien es cierto que puede modificarse la configuración de
seguridad en Facebook y decidir si la cuenta es privada o pública, quién puede
ver las publicaciones, compartirlas, dejar comentarios, etc., no significa que
Facebook no almacene todo tipo de información pública y privada. Unas veces el
usuario es consciente de ello pero otras no.
Y esa información
oculta que se cruza entre los distintos servicios de Facebook es la que vulnera
los derechos y libertades de los ciudadanos de la Unión Europea.
Conclusión
Facebook no es solo una Red Social, es un grupo de empresas
que a través de sus servicios recopilan, almacenan y tratan información
personal del usuario y de terceros.
Por esta razón, tanto la Unión Europea como la Agencia
Española de Protección de Datos prohíben que los profesionales utilicen WhatsApp
en dispositivos donde se guardan datos de clientes en la Libreta de direcciones
porque automáticamente se está dando información de terceros sin su
consentimiento.
Un mal uso profesional de WhatsApp supone un peligro en la
seguridad de los datos personales de terceros. Hay que recordar que el incumplimiento del Reglamento General de
Protección de Datos supone sanciones que van desde los 10.000.000 de euros
hasta el 2% como máximo del volumen de negocio total anual global del ejercicio
financiero anterior (art. 83 del
RGPD).