Cada vez son más las empresas que ofrecen un servicio de
atención al cliente a través del servicio de mensajería instantánea WhatsApp.
Incluso medios de comunicación la utilizan para que los oyentes realicen
peticiones o se apunten a concursos. Las llamadas de teléfono o mensajes SMS
están cada vez más en desuso con las nuevas tecnologías.
El problema surge cuando un medio o herramienta de
comunicación no es lo suficientemente fiable como para asegurar la protección
de los datos personales.
En primer lugar, actualmente está en entredicho el sistema
de encriptado o cifrado del flujo de datos entre usuarios de forma que un
tercero no pueda acceder a la información. En este mes de mayo la empresa Facebook,
Inc., propietaria de WhatsApp, reconoció una brecha en la seguridad de la
aplicación de mensajería que supuso el acceso a los datos de 10.500 millones de
usuarios.
En segundo lugar, Facebook, Inc. está preparando la fusión
entre la aplicación WhatsApp y las plataformas Facebook e Instagram. De esta
forma lo que publiquemos en un servicio se verá en los demás.
En tercer lugar, WhatsApp no ha actualizado su Política de
Privacidad desde el 24 de abril de 2018
y, por lo tanto, no se ajusta a lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos
Personales y garantía de los derechos digitales (LOPDGDD).
¿Qué establece
la legislación europea y española?
Según establece la LOPDGDD, todo dato personal debe ser
tratado bajo el consentimiento del afectado. Y como consentimiento se entiende
“toda manifestación de voluntad libre,
específica, informada e inequívoca por la que este acepta, ya sea mediante una
declaración o una clara acción afirmativa, el tratamiento de datos personales
que le conciernen.” (art. 6 LOPDGDD).
Los responsables o encargados del tratamiento de los datos
personales deben mantener la confidencialidad (art. 5 LOPDGDD) y
determinar “las medidas técnicas y
organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que
el tratamiento es conforme” a la legislación europea (RGPD) (art. 28 LOPDGDD), más conocido como medidas de responsabilidad activa.
Asímismo, el artículo
5.1.c) del Reglamento (UE) 2016/679
del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE, exige que los datos personales recopilados, almacenados
y tratados sean “adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son tratados”,
esto es, minimización de datos.
¿Qué establece
WhatsApp?
En el apartado “Información
sobre nuestros servicios” y más concretamente “Libreta de direcciones”, establece lo siguiente:
“De conformidad con
todas las leyes pertinentes, debes proporcionarnos regularmente los números de
teléfono de los usuarios de WhatsApp y del resto de los contactos que tienes en
la libreta de direcciones de tu móvil, incluidos los usuarios de nuestros
Servicios y tus otros contactos”.
En “Información que
recopilamos” detalla qué información debe “recibir o recopilar para operar, proporcionar, mejorar, entender,
personalizar, respaldar y comercializar” sus servicios. La información que
debemos proporcionar a WhatsApp es la siguiente:
1. Información de la
cuenta de WhatsApp: número de teléfono móvil, información del perfil,
fotografía del perfil, todos los números de teléfono de la libreta de
direcciones que haya en el teléfono móvil, los números de teléfono y datos de
los usuarios que utilizan WhatsApp (por ejemplo, cuando recibimos un mensaje de
una persona que no está en nuestra libreta, el número de teléfono y perfil de
esa persona también la recopila WhatsApp).
2. Los mensajes que
el destinatario no recibe: son guardados durante 30 días. Transcurrido ese
periodo se eliminan de los servidos de de Facebook. En el caso de imágenes, audios o vídeos que se
comparten entre muchos usuarios, estos datos son almacenados en los servidores
durante más de 30 días, aunque los destinatarios los hayan recibido.
3. Las conexiones
entre nuestro dispositivo y el de usuarios de grupos o listas de difusión:
WhatsApp registra en qué grupos estamos y las relaciones entre los miembros del
grupo y nosotros. Crea una conexión en ambas direcciones de manera que nos
asocia con usuarios que no conocemos.
4. Uso del servicio
de pago: si utilizamos el servicio de pago de WhatsApp, se registran todas
las operaciones relativas a las compras o transacciones que realicemos.
5. Información sobre
nuestra activiad: la configuración, duración del uso de la aplicación,
fecha y hora en que se envían mensajes, realizan llamadas o videollamadas,
archivos de registro, informes de diagnóstico o la última actualización del
perfil.
6. Información sobre
nuestro teléfono móvil: tipo de sistema operativo, tipo de navegador, tipo
de conexión, operadora que suministra el servicio de conexión a internet,
hardware, nivel de carga de la batería, intensidad y tipo de señal (ADSL o
móvil como 3G, 4G, 5G…) y la dirección IP.
7. Información sobre
nuestra ubicación: WhatsApp registra y almacena información sobre nuestra
situación geográfica y sobre la ubicación que otras personas nos envíen. Para
ello utilizan distintas tecnologías para determinar la ubicación como son las
direcciones IP, GPS, Bluetooth, wifi, balizas y antenas de telefonía cercanos.
8. Cookies.
9. Datos nuestros que
tienen tercersas personas: cuando incluimos contactos a nuestra libreta,
accedemos a un grupo o enviamos un mensaje a una empresa, no solo enviamos el
mensaje, también nuestro número de teléfono y nuestro perfil. WhatsApp recoge
nuestros datos que ese amigo, grupo o empresa que almacena en su propio
dispositivo.
10. Servicios de
terceros: Teniendo en cuenta que WhatsApp pertenece a Facebook, Inc., la
información personal de todos los servicios que utilicemos de esta empresa se registran
y guardan creando una base de datos más ámplia sobre nuestra persona. Toda la
información recopilada a través de WhatsApp se une a la de Facebook e Instagram.
También recopila información personal que otras empresas tengan de nosotros.
Por ejemplo: descargamos un juego en nuestro teléfono móvil y lo conectamos a
la cuenta de Facebook para que nuestros amigos sepan los niveles que vamos
consiguiendo en cada jugada.
¿Qué repercusión
tiene al utilizarlo en un teléfono móvil de empresa?
El mero hecho de ser un teléfono de empresa significa que
los datos personales contenidos los gestiona una empresa o autónomo, por lo que
debe someterse a las leyes españolas y europeas en materia de Protección de
Datos Personales.
Si se instala WhatsApp e interactúa con clientes, se produce
una brecha de seguridad ya que los datos personales, mensajes (texto, audio y
vídeo), llamadas y videollamadas de los clientes pasan a formar parte de Facebook,
Inc. También se establece una relación entre empresa cliente, lo que permite a Facebook,
Inc. saber que una persona física solicita cierta información, adquiere determinados
servicios o compra determinados productos. Toda esa información que
supuestamente es confidencial entre empresa y cliente, se filtra a través de WhatsApp
que a su vez pasa a Facebook, Inc..
Esa brecha supone una vulneración del principio de
confidencialidad y los derechos a la intimidad y honor.
Conclusión
Todos los servicios de Facebook, Inc., incluido WhatsApp,
están cuestionando la seguridad en el tratamiento de datos personales de los
usuarios. Primero con el escándalo de Cambridge
Analytica en 2016 en el que se hizo un mal uso de la información. Y en este
año nos encontramos con el robo de datos de WhatsApp y un nuevo caso de mala
gestión de información de Facebook, Inc., a través de la empresa de análisis Rankwave, de Corea del Sur.
Hasta que Facebook, Inc. no cambie su Política de Privacidad
y permita la protección de los datos personales de los usuarios de WhatsApp, toda
empresa que utilice esta aplicación con sus clientes está contraviniendo lo
establecido en la legislación española y europea. La Agencia Española de
Protección de Datos ya avisó en su día y son muchas las empresas a las que se
les ha impuesto una sanción. Aún así, son más las que no tienen conciencia de
las repercusiones que supone la utilización de esta aplicación y siguen
utilizándola.