Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

miércoles, 17 de julio de 2013

USO DE Whatsapp© EN EL ÁMBITO PROFESIONAL DE LAS RELACIONES ENTRE ABOGADO Y CLIENTE

Resumen: Por su indudable interés público y actualidad, presentamos una traducción “no oficial” del Dictamen CNS-24/2013 de la APDCAT (Autoritat Catalana de Protecció de Dades) en relación con la consulta de un Colegio de Abogados, referente al uso de las aplicaciones “Whatsapp©" y "Spotbros©" en el ámbito profesional de las relaciones entre abogado y cliente. Para facilitar la claridad, se ha fragmentado en apartados.

Dictamen elaborado por		Colaboración
APDCAT (Autoritat Catalana de Protecció de Dades)
Actualizado	17 de julio de 2013

ÍNDICE

1. OBRA ORIGINAL (Dictamen CNS-24/2013 de la APDCAT)

2. DICTAMEN TRADUCIDO
2.1. En que se basa la consulta formulada
2.2. Funcionamiento de Whatsapp© y Spotbros©
2.3. Marco legal aplicable
2.4. Ámbito de la consulta
2.5. Principio de consentimiento
2.6. Consentimiento diferenciado por finalidad
2.7. Medidas de seguridad
2.8. Conclusiones
3. BIBLIOGRAFÍA REFERENCIADA
4. DERECHOS DE AUTOR

1. OBRA ORIGINAL (Dictamen CNS-24/2013 de la APDCAT)

Dictamen CNS-24/2013 de la APDCAT

2. DICTAMEN TRADUCIDO

Se presenta ante la Autoridad Catalana de Protección de Datos un escrito de un Colegio de Abogados, en el que se pide la opinión de la Autoridad en relación con los riesgos que supone el uso de la aplicación "Whatsapp" en el ámbito profesional de las relaciones entre el abogado y el cliente, y el grado de adecuación de esta aplicación a la normativa de protección de datos, considerando diversos dictámenes existentes en el ámbito europeo en relación con las aplicaciones en dispositivos inteligentes.

También se pide el parecer sobre la adecuación de la aplicación española de mensajería instantánea "Spotbros" en el ámbito profesional de las relaciones entre abogado y cliente.

Analizada la petición, vista la normativa vigente aplicable, el informe del Coordinador de Auditoría y Seguridad de la Información de la Autoridad, y el informe de la Asesoría Jurídica se dictamina lo siguiente.

(...)

2.1. En que se basa la consulta formulada

La consulta hace referencia al Dictamen 2/2013, sobre apps en dispositivos inteligentes ("Opinion 2/2013, on apps on smart devices"), emitido en fecha 27 de febrero de 2013 por el Grupo de Trabajo del Artículo 29 de la Directiva europea 95/46/CE, de protección de datos personales (en adelante, GT29) [1]. También hace referencia al Dictamen de la Autoridad de Protección de Datos de Holanda, "Investigation into the processing of personal data for the "whatsapp" Mobile application by WhatsApp. Inc." [2], De enero de 2013, y al Dictamen de la Autoridad Federal de Canadá (Office of the Privacy Commissioner of Canada), "Finding under the Personal Information Protection and Electronic Documents Act (PIPEDA)" [3], de enero de 2013.

El Dictamen 2/2003 del GT 29, constata la existencia de riesgos para la protección de datos personales y la privacidad, generados por el uso de las llamadas "apps" (Aplicaciones) para aparatos o dispositivos inteligentes ("smart devices").

Estos riesgos analizan a partir del marco legal aplicable al tratamiento de datos personales en el desarrollo, distribución y uso de las apps, que viene fijado por la Directiva 95/46/CE, citada, así como por la Directiva 2002/58/CE, de privacidad y comunicaciones electrónicas [4].

Desde el momento que a través del uso de Whatsapp y de Spotbros se produce un tratamiento de datos personales, las consideraciones del GT29 respecto a los diferentes principios y garantías de protección de datos deben ser tenidas en cuenta.

En cuanto a los Informes de la Autoridad Federal de Canadá y de la Autoridad de Protección de Datos de Holanda, ambos de enero de 2013, son el resultado de una investigación que ambas Autoridades han llevado a cabo de forma conjunta y coordinada, cada una en su ámbito de actuación, en relación con el tratamiento de datos que realiza "WhatsApp Inc.", es decir, la empresa que desarrolla "Whatsapp", que es una de las aplicaciones sobre las que se formula la consulta.

Mientras el informe de la Autoridad canadiense analiza los problemas y riesgos que puede presentar el uso de Whatsapp en atención a la PIPEDA (Ley Federal de Canadá de protección de la información personal y de documentos electrónicos), el informe de la Autoridad holandesa hace su análisis en atención a las Directivas europeas, mencionadas, y en la Ley de protección de datos holandesa.

Hay que hacer notar que el informe de la Autoridad holandesa explicita el compromiso de Whatsapp de mejorar una serie de cuestiones, en concreto, el riesgo en la seguridad de las contraseñas de los usuarios inactivos, el periodo de retención de datos y la información que da sobre este periodo, y la adición de una advertencia al usuario sobre la distribución los mensajes de estado.

La información contenida en el apartado de la política de privacidad de la web de Whatsapp ha sido actualizada en fecha 7 de julio de 2012. Por lo tanto, se deduce que las diversas modificaciones que Whatsapp se ha comprometido a hacer, al menos no la información a los usuarios sobre estos extremos, para mejorar la privacidad de los usuarios, aún no habrían sido implementadas.

III

2.2. Funcionamiento de Whatsapp© y Spotbros©

Para situar la consulta, hay que describir, aunque sea brevemente, las dos aplicaciones citadas y su funcionamiento, en base a la información disponible en las respectivas páginas web, www.whatsapp.com y www.spotbros.com .

Según la web citada, Whatsapp Messenger es una aplicación de mensajería multiplataforma que permite enviar y recibir mensajes que está disponible para iPhone, BlackBerri, Windows Phone, Android y Nokia, por lo que todos estos dispositivos pueden comunicarse entre sí, sin coste adicional para el usuario.

Whatsapp permite enviar mensajes de texto y archivos de tipo imagen, vídeo y audio. Además de utilizar la mensajería básica, los usuarios de Whatsapp pueden crear grupos (chats), de modo que el usuario, que será el administrador, puede incluir al resto de usuarios para participar en el chat. Whatsapp también permite a los usuarios enviar entre los miembros del chat imágenes, vídeos y mensajes de audio. El usuario puede crear hasta 50 chats, con un número máximo de 50 participantes.

En cuanto a su funcionamiento, Whatsapp utiliza la conexión a Internet del usuario, -el plan de datos que tiene el usuario para el correo electrónico e Internet-, para que éste pueda enviar mensajes a sus contactos, según se explica en las FAQ (preguntas frecuentes).

En el momento que alguien se instala Whatsapp en un terminal, la plataforma accede a todos los teléfonos de contacto almacenados en este terminal, independientemente de si tienen instalado o no Whatsapp. Es decir, Whatsapp lee todos los números de teléfono de la agenda del usuario para comprobar cuáles de estos números están registrados en Whatsapp.

Los contactos que también disponen de Whatsapp aparecen en la lista de "favoritos" y en la pantalla de "chats". Whatsapp muestra los nombres los contactos, tal y como los tiene almacenados el usuario en su agenda.

Spotbros es una aplicación de mensajería instantánea que permite al usuario enviar mensajes a sus contactos. En concreto, Spotbros permite enviar mensajes de texto y archivos de imagen, vídeo y audio. Según se explica en las FAQ, actualmente Spotbros se encuentra disponible en smartphones y tablets para Android y iOS (sistema operativo móvil de la empresa Apple Inc.. para iPhone). Spotbros no sólo puede utilizarse para Envío de mensajes privados, sino que también incorpora ciertas características de "Red social", si el usuario utiliza los chats que ofrece Spotbros. En concreto, esta app permite crear "grupos privados", "spots" y "Shouts".

Los "grupos privados" de Spotbros son chats privados sin límite de participantes que cualquier usuario puede crear, e invitar a sus contactos a participar. El usuario que crea el grupo, como administrador, le atribuye un nombre y una descripción para informar a los contactos sobre la temática de este.

Los "spots" son grupos de chat público sin límite de participantes que se crean en una zona determinada, con un interés o temática concreta. El usuario puede utilizar un módulo de Spotbros para encontrar los spots de una zona (El módulo "SBoole", permite buscar spots y otros usuarios).

Spotbros también permite enviar un "shout", es decir, una llamada a otros usuarios que se encuentran en la zona. El "Shout" llega a los primeros 100 usuarios en un radio de 1500 metros. En las FAQ se explica que el usuario puede desactivar la localización, de modo que no pueda enviar ni recibir "Shouts" ni escanear "spots" cercanos.

En cuanto a su funcionamiento, según las FAQ de Spotbros, para que una persona convierta en un contacto debe existir una coincidencia bidireccional en los números de teléfono, es decir, que el usuario debe tener el número de la otra persona almacenado en su agenda de teléfono, y viceversa. Cuando no existe esta coincidencia de números, envía una petición de amistad que el destinatario puede aceptar o rechazar.

2.3. Marco legal aplicable

En cuanto al marco legal aplicable, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) se aplica a cualquier tratamiento de datos personales, cuando el tratamiento se efectúa en territorio español, o cuando el responsable del tratamiento no establecido en territorio español le es aplicable la legislación española (artículo 2.1.a) y b) de la LOPD).

Según el artículo 2.1.c) de la LOPD, esta ley se aplica en los casos en que el responsable no está establecido en la UE pero utiliza, para tratar los datos personales, medios situados en territorio español.

Según el artículo 3.d) de la LOPD, es responsable "la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, el contenido y uso del tratamiento".

En el funcionamiento de las apps identifican varios intervinientes, entre otras, las empresas titulares de las apps, las empresas que las crean, desarrollan o comercializan, las empresas relacionadas con la creación de los diferentes dispositivos (Teléfonos inteligentes, tabletas...) en la que los usuarios se instalarán las apps, o las empresas proveedoras de publicidad que recibe el usuario por utilizar las apps.

A estos efectos se podrían identificar varios responsables o, como mínimo, varios grados de responsabilidad sobre el tratamiento de los datos de los usuarios. La existencia de varios intervinientes puede suponer en sí misma un cierto riesgo para la privacidad, en la medida que el tratamiento de la información llevado a cabo por alguno de ellos no cumpla los principios y obligaciones de la normativa de protección de datos.

Sin perjuicio del resto de intervinientes, en este informe nos referiremos a las empresas responsables de la explotación comercial de Whatsapp y Spotbros. En principio, estas empresas deciden qué tratamiento hacen de los datos de los usuarios que quieren utilizar estas apps, y establecen las condiciones de uso de las apps.

Si nos atenemos a la información que ambas empresas ponen a disposición de los usuarios en las respectivas páginas web ("Terms of service" de Whatsapp y "Términos y condiciones" de Spotbros), éstas determinan qué información utilizarán y cuál no, incluyendo datos personales del usuario y los contactos del usuario, y para qué fines (Principalmente, dar el servicio al usuario para que éste pueda utilizar la app).

Por tanto, estas empresas son responsables del tratamiento de los datos de los usuarios, a los efectos del artículo 3.d) de la LOPD.

Según la página web de Spotbros (apartado de "Términos y condiciones"), SPOTBROS TECHNOLOGIES, SL, es una empresa mercantil española que tiene domicilio social en Madrid. Por tanto, la LOPD es aplicable al tratamiento de datos personales derivado del uso de Spotbros (artículo 2.1.a) de la LOPD).

Entre otras cuestiones, Spotbros informa que los datos facilitados por el usuario a través del registro en la web mediante el uso del Servicio SB, se incorporan a un fichero de datos personales responsabilidad de la mercantil Spotbros. Esto puede clarificar el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición, reconocidos en la LOPD), por parte de los usuarios interesados que utilizan Spotbros.

En cuanto a Whatsapp, la aplicación de la LOPD puede plantear una problemática particular. Según se explicita en la información legal disponible, exclusivamente en inglés, en la web www.whatsapp.com ("Terms of service", apartados 10 y 11), el usuario que se instala la app obliga a someterse, en caso de cualquier conflicto legal que se pueda producir, a la jurisdicción de California. Según esto, en caso de existir un desacuerdo entre el usuario y Whatsapp, la normativa aplicable no sería la española.

En el mismo apartado 11 de las condiciones de servicio citadas, Whatsapp establece que el acuerdo entre el usuario y la empresa se determina, exclusivamente, en dichas cláusulas, y en la política de privacidad de la misma web, de modo que la empresa excluye cualquier aplicación de otra normativa-en este caso, la europea-, en la relación que establece con los usuarios de la app.

Sin embargo, si el responsable utiliza medios ubicados en un Estado miembro de la UE, habrá que aplicar la ley nacional, en nuestro caso, la LOPD (considerando 20 y artículo 4.1.c) de la Directiva 95/46/CE).

Por tanto, cuando Whatsapp se utiliza en dispositivos de usuarios que, como en el caso que nos ocupa, se encuentran en España, habría que considerar la aplicación los principios y garantías de la LOPD.

La aplicación de la normativa europea en base a la utilización de estos medios por el responsable, ha sido analizada por el GT29 en el Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE, de 30 de mayo de 2002, y en el Dictamen 8/2010 [5], sobre el Derecho aplicable (ambos disponibles en la web http://ec.europa.eu), a los que nos remitimos.

También hay que tener en cuenta que el artículo 5.3 de la Directiva 2002/58/CE [4], prevé que en relación con el almacenamiento de información y la obtención de acceso a la información almacenada en el terminal de un abonado o usuario, se aplicará lo dispuesto en la Directiva 95/46/CE (en concreto, en relación con el consentimiento y el deber de información el usuario).

Por todo ello, se puede considerar que en relación con el tratamiento de datos de los usuarios de Whatsapp y de Spotbros situados en España, resultan aplicables los principios y garantías de la LOPD.

2.4. Ámbito de la consulta

La consulta se formula en el contexto de las relaciones que se establecen entre un abogado que ejerce en Catalunya y sus clientes.

Se puede descartar, de entrada, que el tratamiento que realiza el abogado de datos personales de sus clientes se sitúe en el ámbito meramente "doméstico" (artículo 2.a) LOPD), el cual excluiría la aplicación de la normativa de protección de datos.

El abogado o, si caso, la empresa en la que presta sus servicios, es "responsable" de determinados ficheros de datos (artículo 3.b) LOPD) en los que puede tratar información personal de los sus clientes.

Dado que el abogado es responsable del tratamiento de determinados datos personales de sus clientes, le es exigible la aplicación de los principios y garantías de la LOPD, en relación con este tratamiento.

Sin perjuicio de la responsabilidad sobre el tratamiento de los datos de los usuarios de las apps que pueda corresponder a las respectivas empresas (Whatsapp y Spotbros), el abogado tiene un grado de responsabilidad específico respecto al tratamiento de los datos de sus clientes, que incluye la elección de los canales de comunicación más adecuados con ellos.

Teniendo en cuenta que es dato personal cualquier información concerniente a personas físicas identificadas o identificables (artículo 3.a) de la LOPD), hay que considerar qué información personal se trata cuando se utilizan las apps de mensajería instantánea objeto de consulta.

Según el Considerando 24 de la Directiva 2002/58/CE, "los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda la información almacenada en estos equipos, forman parte de la esfera privada de los usuarios".

La información personal enviada a través de las apps, pues, debe quedar protegida por la LOPD.

Con la utilización de las apps se produce una comunicación entre dos personas físicas (usuario y contacto), de modo que hay que entender que no sólo se tratan las datos del usuario, sino también las de sus "contactos", es decir, las personas físicas que se encuentran identificadas en la "libreta de direcciones" del usuario.

Por otra parte, a través de la utilización de estas apps no sólo se trata la información personal que pueda figurar en los mensajes de texto, sino también la contenida en los archivos adjuntos, como fotografías.

Según la página web de Whatsapp, ("The information Whatsapp colectivo" y "The information Whatsapp does not collect"), se tratan datos que facilita el usuario, como el número de teléfono móvil, e información asociada al dispositivo móvil.

Whatsapp especifica que no recoge nombres, emails, direcciones u otros datos de contacto más allá los números de teléfono móvil de la lista de contactos.

Ahora bien, más allá de eso, la foto de perfil, el estado del usuario, y la fecha y la hora de la última conexión del usuario, es información personal accesible a cualquier usuario autenticado a la plataforma. En concreto, la "función de estado" da la opción al usuario indicar a sus contactos su disponibilidad o situación en un momento determinado (encontrarse en una reunión, pedir que se deriven las llamadas a otro número...).

El contenido de los mensajes también puede consistir en información personal. Si bien Whatsapp considera que estos aspectos no son información personal sujeta a la política de privacidad de la empresa, se debe considerar que es dato personal, ya que da información sobre el usuario (de la misma manera que la foto, o incluso la información sobre la fecha y hora en que se conecta un usuario).

Según su web ("Datos recabados"), Spotbros trata los datos que facilita el usuario en la web, el nombre y número de teléfono de los contactos. También se explica que el usuario puede enviar y almacenar datos de carácter personal adicionales, como por ejemplo fotografías u otros contenidos que se adjuntan a un mensaje. El "contenido del usuario", según la web, es toda aquella información, gráficos, textos, imágenes, software, archivos de audio, vídeos, comunicaciones, o cualquier otro material publicado, enviado o compartido por los usuarios.

Por tanto, el uso de estas apps en el marco de la relación abogado-cliente puede generar un tratamiento de datos personales del propio abogado, de sus clientes, en el caso de que éstos se encuentren en la lista de los contactos del teléfono que utiliza el abogado, e incluso de terceras personas (de las que pueda darse información en un mensaje enviado, o en un archivo que se adjunte al mensaje, como puede ser una fotografía), que deben quedar protegidas por la normativa de protección de datos.

Conviene recordar que, por la propia naturaleza de la relación entre abogados y clientes, es posible que algunas de las informaciones personales que se transmiten a través de las apps, es decir, los contenidos de algunos mensajes, incorporen datos especialmente sensibles, es decir, datos que la normativa protege de forma reforzada (artículo 7 de la LOPD). Entre otros, los datos de salud o los datos relativos a la comisión de infracciones penales o administrativas, que es posible que se traten en el contexto de los mensajes enviados entre abogado y cliente, son datos que la normativa protege especialmente.

La información personal sensible que se podría comunicar entre los usuarios no se limita a la que se puede contener en un mensaje de texto, sino que, por ejemplo, los archivos de imagen también podrían suponer el tratamiento de datos especialmente sensibles a los efectos del artículo 7 de la LOPD.

Sin perjuicio de las concreciones que se harán más adelante, dada la naturaleza propia de las comunicaciones entre un abogado y sus clientes, y teniendo en cuenta que estas comunicaciones pueden incorporar datos sensibles, la utilización de las funcionalidades de las apps consistentes en la participación en chats o grupos de conversación abiertos a un número más o menos numeroso de personas, no parece probable, ni resultaría en ningún caso aconsejable desde la perspectiva de la protección de datos.

En este informe nos referimos, pues, a la utilización de las apps, partiendo de la premisa que se produce una comunicación privada entre el abogado y su cliente, descartando que la comunicación se produzca a través de chats o conversaciones abiertas.

2.5. Principio de consentimiento

Cualquier tratamiento de datos personales debe disponer del consentimiento previo del titular de los datos (3.e) LOPD), a menos que éste no sea exigible, principalmente, por encontrarse habilitado por la ley (artículo 6 de la LOPD).

El consentimiento o, en su caso, la habilitación legal, es la base jurídica que permite a una app, en concreto, a los diferentes responsables que intervienen, tratar datos personales del usuario de la app.

Si se examinan las condiciones de uso y la política de privacidad, tanto de Whatsapp como de Spotbros, se puede comprobar que se incluyen condiciones generales o estándares, que estas empresas fijan de manera unilateral -y que también pueden modificar de manera unilateral- y que no dejan margen de opción al usuario.

La página web de Whatsapp, www.whatsapp.com, indica al usuario que "si no está de acuerdo con nuestras prácticas, por favor, no utilice el sitio, programa o servicio de Whatsapp". De forma similar, la página web de Spotbros, www.Spotbros.com (apartado de preguntas frecuentes, FAQ), al explicar a los usuarios el sistema para registrarse, les indica el siguiente: "introduzca el número de teléfono, email y contraseña y acepta los términos."

En uno y otro caso, el usuario debe aceptar necesariamente el conjunto de las condiciones preestablecidas por Whatsapp o Spotbros a fin de utilizar la app.

Ahora bien, aunque pueda ser razonable, desde la perspectiva del principio de consentimiento, que el usuario tenga que aceptar necesariamente un cierto nivel de tratamiento de sus datos, en la medida que ello pueda ser necesario, desde un punto de vista técnico, para la propia prestación de un servicio (que pueda usar la app, en este caso), esto no implica que resulte adecuada la prestación de un consentimiento general, en el sentido de una aceptación incondicionada, por utilizar los datos del usuario o de terceras personas para fines que no resulten estrictamente necesarios para la prestación de dicho servicio.

Al respecto, el Dictamen 2/2013 del GT29 recomienda que, en el contexto de la utilización de las apps, las empresas soliciten un "consentimiento granular" para cada tipo de datos a los que la app accederá, ya que el consentimiento, en cualquier caso, no legitima un tratamiento excesivo o desproporcionado en relación con cualquier tratamiento.

Es decir, habría que distinguir entre el tratamiento estrictamente necesario para que se pueda utilizar una app, otros tratamientos -o del tratamiento de otros datos- que no resulten necesarios a estos efectos.

Aplicando estas consideraciones al caso que nos ocupa, según la página web de Whatsapp, desde el momento que se. La app, el usuario da su consentimiento expreso para que WhatsApp acceda a la lista de contactos (libreta de direcciones de los números de móvil), para poder utilizar el servicio. Durante el proceso de instalación de Whatspapp, se solicita acceso a la libreta de direcciones o contactos del usuario.

Una vez realizada la instalación, Whatsapp utiliza la lista de teléfonos (contactos) del teléfono móvil del usuario, incluyendo los números de personas que no son usuarias de la app, para permitir la comunicación entre los usuarios de la app, es decir, para mostrar al usuario de la app cuáles de sus contactos utiliza la misma aplicación.

Según la web de Whatsapp, periódicamente se accede a la lista de contactos ("adress book") del teléfono móvil del usuario, para localizar los números de teléfonos móviles de otros usuarios de Whatsapp ("in-network numbers") o para categorizar otros números de teléfono móvil como no usuarios ("out-network numbers").

Esto, aparte de los usuarios de iPhone, ya que en este caso, como se explica en las FAQ ("Whatsapp y contactos iPhone"), el usuario sí tiene la opción de añadir de forma manual los contactos.

En este sentido, puede considerarse que no se aplica un consentimiento granular, de modo que el usuario pueda seleccionar los contactos a los que tendrá acceso Whatsapp, opción que sería más adecuada desde la perspectiva del principio de consentimiento.

Mientras Whatsapp no haga extensible la posibilidad de que el usuario deniegue el acceso a determinados contactos -como sí pueden hacer los usuarios de iPhone, según se desprende de la información disponible en las FAQ de Whatsapp-, se podría considerar que se produce un tratamiento "excesivo", desde la perspectiva del principio de calidad de los datos.

Según el artículo 4 de la LOPD, los datos personales sólo se pueden recoger y tratar cuando éstos sean adecuados, pertinentes y no excesivos en relación con la finalidad determinada, explícita y legítima para la que se han obtenido.

Con mayor motivo, si tenemos en cuenta que los datos de contacto (aunque sea, sólo, el número de teléfono asociado al nombre de la persona), de un cliente del abogado, si bien son datos identificativos y, por tanto, no son datos sensibles, pueden relacionarse con otra información que sí puede ser sensible (por ejemplo, especialización de un abogado en determinados tipos de delitos).

Al respecto, según la política de privacidad de Whatsapp, si el usuario asocia los números de teléfono de sus contactos a un seudónimo, este es el nombre que aparecerá en la lista de contactos.

La opción del usuario (el abogado) de atribuir "Seudónimos" a sus contactos podría utilizarse por parte de este como protección hacia un uso indebido de la identidad "real" de sus clientes (por ejemplo, atribuyendo un nombre ficticio, código o número de referencia asociado al número de teléfono del cliente, sin identificarlo con nombres y apellidos).

Ahora bien, esta práctica recomendable, no desvirtúa la constatación de que Whatsapp utiliza el conjunto de los teléfonos de la libreta de contactos del abogado, sin que éste pueda denegar el acceso a determinados contactos -con la excepción apuntada de los usuarios de iPhone-.

En cuanto a Spotbros, en relación con el uso de la libreta de direcciones, habría que llegar a la misma conclusión, ya en la web se indica que, para poder utilizar el Servicio SB (ver el descripción en el apartado 2 de los términos y condiciones), el usuario deberá facilitar a Spotbros su número de teléfono, añadiendo que con la aceptación de los términos y con el fin de que Spotbros pueda gestionar el servicio de mensajería instantánea, el usuario autoriza Spotbros a acceder a los números de teléfono contenidos en su "Agenda" o "Contactos".

Como se explicita en el apartado 2 de los Términos y condiciones de esta app, "Para poder usar el Servicio SB, Usted tendrá que facilitar a SPOTBROS Su número de Teléfono. Con la aceptación de estos Términos y con la finalidad de que SPOTBROS puedo gestionar Su uso del Servicio (ej. Servicio de mensajería instantánea), Usted autoriza a SPOTBROS a acceder a los números de teléfono Contenidos en Su "Agenda" o "Contactos".

Es decir, se desprende de estas condiciones de uso que Spotbros accede a los números de teléfono de los contactos-clientes del abogado que utilice esta app, en términos similares a los que hemos expuesto en relación con Whatsapp. Por tanto, resulta extensible mención hecha a la conveniencia de articular un consentimiento granular en este contexto.

Otro ejemplo de que un consentimiento, parcelado o granular, podría ser más conveniente en relación con el uso de apps, se refiere a las cesiones previstas.

Whatsapp informa (apartados "The way Whatsapp usas information" y "When Whatsapp discloses information "), que el usuario puede tener la opción de elegir (" opt-in o opt-out "), en relación con determinados usos de la información para fines comerciales o de marketing. En estos casos el usuario, ciertamente, puede tener cierta capacidad de elección.

Ahora bien, a esto se añade que Whatsapp puede utilizar el número de teléfono sin consentimiento para otros fines "administrativas", o para hacer promociones, para crear nuevos servicios o funcionalidades, a través del análisis de las preferencias de los usuarios, entre otros.

Estas previsiones sobre cesiones de datos de los usuarios sin su consentimiento, resultan bastante genéricas y, por tanto, podrían no resultar ajustadas a las exigencias de la LOPD (en concreto, con el régimen de comunicación de datos, previsto en el artículo 11 de la LOPD). En cualquier caso, si se habilitara por parte de Whatsapp un consentimiento "granular" o diferenciado, en función de si el tratamiento es necesario para que el usuario pueda utilizar la app, esto daría al usuario mayor poder de decisión en relación con determinadas cesiones de datos que deberían requerir el consentimiento, al no ser necesarias para la prestación del servicio (utilización de la app).

En cuanto a Spotbros, respecto a las cesiones previstas, en el apartado de Política de privacidad se informa al usuario de que "Mediante el uso del Servicio SB (Consentimiento implícito, únicamente en los casos legalmente permitidos) y / o mediante la Aceptación de los presentes Términos mediante la marcación de la casilla correspondiente (Consentimiento expreso), Usted está consintiendo que SPOTBROS, en cumplimiento a lo dispuesta en esta Política de Privacidad, recabe, utilice y / o comunique suspensión datos de carácter personal con el fin de que SPOTBROS puedo acero funcionar y prestar el Servicio SB."

Añade que Spotbros "no tratará ni comunicará a Terceros datos de carácter personal de los Usuarios con finalidades distinguidas a aquellas para las que Fueron recabados, salvo en Aquellos casos en los que cuente con apoyo Consentimiento o en los que sea exigida o permitido conforme a lo dispuesta en la Ley aplicable. El Consentimiento otorgada por los Usuarios Puede ser expreso o tácito, por escrito mediante la aceptación de la correspondiente casilla, electrónico, o implícito derivación miedo apoyo propia conducta (por Ejemplo, usando el Servicio de SB Cuando el Usuario ya Ha sido notificadas de los Cambios introducidos en los Términos)".

Vistas estas previsiones, se pueden hacer extensibles las consideraciones hechas en relación con la conveniencia de establecer, también por parte de Spotbros, un consentimiento granular.

Hay que añadir que, según la LOPD (artículos 6 y 7), el tipo de consentimiento exigible, en su caso, en cada caso, depende de la información que se trata. Por otra parte, el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, establece que es necesario el consentimiento expreso para el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, salvo que exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y las utilice para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

Así, el consentimiento necesario puede ser, "inequívoco", o puede ser requerido un consentimiento "Exprés", o incluso "expreso y por escrito". En este sentido, las menciones en la web Spotbros a los diferentes tipos de consentimiento, como si fueran equivalentes o indistintos a la hora de prestar el consentimiento, no se ajusta a lo dispuesto en la LOPD, si se interpreta que cualquiera de estos tipos de consentimiento es igualmente válido para cualquier tratamiento.

VII

2.6. Consentimiento diferenciado por finalidad

Dado que por el mero hecho de instalar las apps objeto de consulta se produce una aceptación incondicionada del usuario de las condiciones de uso que decide la empresa correspondiente unilateralmente, y que, como ha quedado apuntado, no se establece un consentimiento granular o diferenciado en función de las finalidades (lo que sería más adecuada desde la perspectiva de la protección de datos), resulta especialmente relevante, los efectos de la consulta, comprobar si el usuario recibe una información bastante detallada de las condiciones del tratamiento de los datos y de lo que conlleva aceptar la instalación de la app.

El artículo 5 de la LOPD dispone que:

"1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de la respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Cuando el responsable del tratamiento no esté establecido en el territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, deberá designar, salvo que tales medios se utilicen con fines de trámite, un representante en España, sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable del tratamiento. (...) ".

En cuanto a Whatsapp, y consultando la información disponible en la web ("Terms of service "y FAQ), se constata que hay determinadas informaciones que en base al artículo 5 LOPD serían exigibles, y que no se dan al usuario. En concreto, no se da información "expresa, precisa e inequívoca" sobre los destinatarios de la información, es decir, sobre los terceros a quienes Whatsapp puede comunicar datos.

Como se ha visto, se hacen referencias a "terceros", sin mayores concreciones, lo que difícilmente puede considerarse compatible con la previsión del artículo 5.1.a) de la LOPD. Tampoco se da información al usuario sobre el ejercicio de derechos ARCO (acceso, rectificación, cancelación y oposición), como exige también el artículo 5 de la LOPD.

Además, hay que tener en cuenta que según el artículo 5.1.e) de la LOPD, cuando el responsable del tratamiento no está establecido en la UE (como es el caso de Whatsapp), debe designar un representante en España.

Dado que en la web no se informa sobre esta cuestión, no se puede contrastar su cumplimiento con respecto a los usuarios situados en España. Como ha quedado dicho, la única dirección que se indica en la información legal de Whatsapp es una dirección de Estados Unidos, lo que puede dificultar la práctica el ejercicio de derechos ARCO por parte de los interesados.

En cuanto a Spotbros, podemos hacer extensibles, en este caso, las consideraciones hechas sobre Whatsapp en cuanto a la mención genérica de "terceros", en relación con el artículo 5.1.a) de la LOPD. Dicho esto, hay que hacer notar que en la información facilitada a los usuarios informa adecuadamente de la existencia de un fichero de datos responsabilidad de la mercantil Spotbros, en el que se tratan los datos de los usuarios (apartado de "política de privacidad "), así como la posibilidad de ejercicio de derechos ARCO (apartado" Derechos de los usuarios ").

Por tanto, se puede considerar que la información que facilita Spotbros ajusta, en estos puntos, lo que exige el artículo 5 de la LOPD, salvo la previsión del artículo 5.1.a) de la LOPD, referida a los destinatarios de la información, cuestión sobre la que no informa adecuadamente.

VIII

2.7. Medidas de seguridad

Uno de los ejes de la normativa de la protección de datos es el cumplimiento de las medidas de seguridad que hay que aplicar al tratamiento de la información, en atención a las categorías de datos que se tratan en cada caso.

Según el artículo 9 de la LOPD, el responsable de aplicar las medidas de seguridad exigibles en función de la información tratada (Título VIII del RLOPD). Como se ha apuntado, las empresas responsables de la explotación comercial de Whatsapp y Spotbros, son responsables de aplicar las medidas de seguridad exigibles por la normativa en relación con la información que tratan de los usuarios.

De entrada, y antes de entrar a analizar la seguridad de las dos apps mencionadas, hay hacer constar que tanto Whatsapp como Spotbros explicitan en la información de las respectivas páginas web que no pueden garantizar la seguridad de la información enviada utilizando las respectivas apps.

La única referencia de Whatsapp a la seguridad de los datos se hace en el apartado "Our commitment to fecha security ", donde se explica que Whatsapp utiliza diversas salvaguardas para preservar la integridad y la seguridad de la información personal del usuario, sin mayor concreción.

Ahora bien, Whatsapp añade que no puede asegurar ni garantizar la seguridad de la información que el usuario transmite, y que el usuario asume el riesgo de dicha transmisión. Whatsapp no recomienda el uso de redes wifi no seguras u otras redes desprotegidas ni garantiza, según las explicaciones de la web, la seguridad de la información del usuario, cuando ésta se encuentra en sus sistemas, si bien añade que informará de posibles ataques a la seguridad de dichos sistemas.

(Sobre esta última previsión, el Reglamento (UE) n º 611/2013, de 24 de junio, relativo a las medidas aplicables a la notificación de casos de violación de datos personales en el marco de la Directiva 2002/58/CE, impone a los proveedores de servicios de comunicaciones electrónicas el deber de informar a los usuarios, en los términos previstos en dicho Reglamento-artículo 3 -, cuando se producen estos ataques).

En términos similares, en la web de Spotbros informa que "SPOTBROS no garantiza la seguridad ni la disponibilidad del Contenido de Usuario publicado, enviado, compartido o almacenado a través del Servicio SB. Usted Debe saber que el Contenido de Usuario que Usted envíe o compartido será o podrá ser visto por Otros Usuarios del Servicio SB, bien por suspensión contactos (por Ejemplo, a través de los chats Privados con suspensión contactos o grupos o miedo Otros Usuarios del Servicio SB (por Ejemplo, a través del envío de "Shouts" o Conversaciones en "Spots"). SPOTBROS le Recomienda encarecidamente no transmitir, publicar o compartir datos de carácter personal sensibles. SPOTBROS no se Hace responsable del Contenido de Usuario."

Es decir, Spotbros recomienda muy expresamente no utilizar la aplicación para enviar o compartir información personal sensible (cualquier información, por tanto, que pueda quedar incluida en el artículo 7 de la LOPD).

Que los propios responsables del tratamiento desaconsejen la comunicación de datos sensibles a través de la app, resulta especialmente relevante a la hora que el usuario -el abogado, en este caso-, valore la conveniencia de utilizarlas, desde la perspectiva de la protección de datos, ya que las comunicaciones entre abogado y clientes pueden incluir habitualmente datos sensibles, las cuales podrían quedar desprotegidas, como parecen admitir las propias empresas responsables.

En cualquier caso, previsiones de este tipo, que además son formuladas unilateralmente por las empresas responsables de las apps, no pueden considerarse como una eximente de las obligaciones que, en función de la información tratada, pudieran resultar exigibles en base a lo que dispone el artículo 9 de la LOPD y en el que se concreta en el Título VIII del RLOPD, que especifica las medidas de nivel básico, medio o alto a aplicar en función de la información tratada.

También hay que tener en cuenta que según la política de privacidad de Whatsapp, y por lo cuanto al contenido de los mensajes que se envían, Whatsapp "no los copia, ni los guarda ni los archiva ".

Los usuarios escriben sus mensajes, que se envían a los servidores de Whatsapp y se dirigen al destinatario, que también debe ser un usuario de Whatsapp. Si el receptor no se encuentra conectado (online), el mensaje se conserva en los servidores hasta que puede ser entregado. Si no se puede entregar, en 30 días, se borra.

Es decir, los mensajes que no se han podido entregar se retienen en la plataforma de Whatsapp durante 30 días, período en el que se ha de considerar que son objeto de "tratamiento" (a los efectos del artículo 3.c) de la LOPD) por parte de Whatsapp, y en el que podrían quedar desprotegidos, si se tiene en cuenta que la propia empresa no garantiza la seguridad de la información.

De manera similar, en cuanto a Spotbros, en relación con los mensajes o archivos que envían los usuarios, en la web se informa que pasados 30 días son automáticamente eliminados de los servidores de Spotbros ("SPOTBROS elimina el Contenido de Usuario en un Plazo de treinta (30) días naturales desde que el material se publicado, enviado, Subida o compartido a través del Servicio SB miedo los Propios Usuarios ").

Por lo tanto, se puede hacer extensiva la consideración hecha en relación con la existencia de tratamiento a los efectos de la LOPD, y con la posible desprotección de esta información, dadas las consideraciones que hace la propia empresa responsable.

Dicho esto, a continuación se hará referencia a diversas vulnerabilidades que, desde la puesta en marcha de Whatsapp, han sido detectadas y analizadas en publicaciones consultadas.

Como la empresa propietaria de la aplicación ha ido corrigiendo algunas de estas vulnerabilidades, en este informe sólo se hace referencia a aquellas que no se tiene constancia de que se hayan resuelto.

A) Whatsapp.

a) Contraseñas:

En cuanto a las contraseñas, en origen, se había constatado -tanto por parte del informe de la Autoridad holandesa como en otras publicaciones-, la debilidad de las mismas, de lo que era relativamente sencillo suplantar un usuario y enviar y recibir mensajes de forma fraudulenta.

Así, hasta diciembre de 2012, la aplicación utilizaba el IMEI (Android) o el IOS MAC (Iphone) para generar la contraseña de acceso a la plataforma. Esta práctica permitía bastante fácilmente suplantar la identidad de un usuario de Whatsapp.

A partir de la fecha indicada, se constata que la aplicación genera la contraseña de una manera mucho más segura, ya que no se genera desde el terminal sino que la genera Whatsapp. Los usuarios activos de Whatsapp obtendrían la nueva contraseña generada y más segura, al verse obligados a actualizar la versión de la app.

Ahora bien, aunque se ha mejorado la seguridad de la contraseña de acceso a la plataforma, se sigue constatando como vulnerabilidad el hecho de que esta contraseña se encuentra almacenada en un archivo no cifrado del terminal.

Por tanto, si se tiene acceso al terminal de un usuario, se podría acceder a la contraseña y, mediante una API "extraoficial" (Application Programming Interface, o Interfaz de programación de aplicaciones), es decir, una API que no es propia de Whatsapp, se podría suplantar la identidad del usuario, y no sólo tener acceso fraudulento a los mensajes, sino también manipularlos, con el riesgo de que esto supone, desde la perspectiva de la protección de datos y la intimidad de los afectados, en el caso que nos ocupa, el abogado y sus clientes.

b) Cifrado de la información:

Hay que tener en cuenta también las cuestiones relativas al cifrado o encriptación. Como se ha apuntado, en el contexto de la relación abogado-cliente, la información personal contenida en los mensajes enviados o en archivos adjuntos, puede ser especialmente sensible (artículo 7 LOPD) y requerir, por tanto, unas medidas de seguridad de nivel alto.

Cabe recordar que, entre las medidas de seguridad de nivel alto, el RLOPD establece que hay cifrar los datos que contengan los dispositivos portátiles cuando estos dispositivos estén fuera de las instalaciones que están bajo el control del responsable del fichero

(Artículo 101.2 RLOPD), y que se debe evitar el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan el cifrado (artículo 101.3 RLOPD).

Asimismo, el artículo 104 del RLOPD establece que cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando los datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

En este contexto, se constata que Whatsapp ha introducido el cifrado de los mensajes.

Por tanto, actualmente todos los mensajes que se envían a través de la app son cifrados.

Ahora bien, aunque las conversaciones se transmitan en forma segura (cifrada), quedan almacenadas en el terminal en una base de datos, incluida en la tarjeta de memoria, en el caso de Android. Esta base de datos, a pesar de estar cifrada, tiene una contraseña que puede ser fácilmente conocida por terceros, de modo que si se tiene acceso en la tarjeta de memoria, se podría acceder a las conversaciones.

c) Otros aspectos:

Desde un punto de vista técnico, también se ha puesto de manifiesto que utilizando una API extraoficial (ajena a Whatsapp) se pueden almacenar archivos de cualquier tipo y tamaño en la plataforma de Whatsapp sin identificarse. De manera que se pueden subir archivos, como virus, y distribuirlos mediante la plataforma, lo que también implica un riesgo para la seguridad de la información.

Dadas estas cuestiones relacionadas con posibles vulnerabilidades de Whatsapp y que la propia empresa propietaria informa que no puede garantizar la seguridad de las datos que transmiten los usuarios, se puede concluir que esta app, desde la perspectiva técnica, no resulta adecuada para tratar datos sensibles.

B) Spotbros.

Hay que tener en cuenta que la aplicación para dispositivos móviles Whatsapp se creó en el año 2009, mientras que la aplicación de Spotbros es posterior (octubre de 2012). Dado que Whatsapp lleva más tiempo en el mercado y lo utilizan millones de usuarios en todo el mundo, el número de artículos publicados sobre su seguridad es muy superior a la publicada en relación con Spotbros.

Esto no implica que la primera sea más o menos segura que la segunda, sino que ha sido objeto de un análisis más detallado, cuestión que hay que tener en cuenta los efectos de este informe.

En el apartado de FAQ de la web de Spotbros se hace constar que "los datos enviados por medio de nuestra app están cifrados".

En concreto, Spotbros explica en su web que cifra todas las conversaciones con AES256Bits, que sería el sistema de cifrado aprobado por la Agencia de Seguridad Nacional de Estados Unidos para documentos clasificados como altamente secretos, aunque la información sobre este tipo de cifrado no se encuentra en los Términos y condiciones de Spotbros, que sería el documento "vinculante" para ambas partes.

Más allá de estas menciones a la encriptación de los mensajes, desde la perspectiva de la seguridad, hay que recordar que la misma empresa propietaria de la aplicación de Spotbros informa que no pueden garantizar la seguridad de los datos que transmiten los usuarios, de modo que habría que hacer extensible la conclusión de que esta aplicación, desde la perspectiva técnica, tampoco es adecuada para tratar datos sensibles.

En definitiva, tanto en cuanto a Whatsapp como en cuanto a Spotbros, dado que en el contexto de la relación entre abogado y clientes, puede ser habitual la comunicación y tratamiento de datos sensibles, la utilización de estas aplicaciones no resulta adecuada desde un punto de vista técnico, en relación con la seguridad exigida por la LOPD y el RLOPD.

De acuerdo con las consideraciones hechas en este informe en relación con la consulta planteada, se hacen las siguientes conclusiones:

2.8. Conclusiones

En relación con el tratamiento de datos de los usuarios de Whatsapp y de Spotbros situados en España, resultan aplicables los principios y garantías de la LOPD.

Desde la perspectiva del principio de consentimiento, puede ser razonable que el usuario haya aceptar necesariamente un cierto nivel de tratamiento de sus datos, necesario para la utilización de la app, pero resultaría recomendable el establecimiento por parte de Whatsapp y de Spotbros de un "consentimiento granular", entre otros, en relación conel acceso a los contactos del usuario o en las cesiones previstas.

En cuanto al deber de información, Whatsapp no da al usuario suficiente información, en los términos que exige el artículo 5 de la LOPD.

En cuanto a Spotbros, se hace extensible esta consideración, en relación con la previsión del artículo 5.1.a) de la LOPD referida los destinatarios de la información.

Tanto Whatsapp como Spotbros explicitan en la información de las respectivas páginas web que no pueden garantizar la seguridad de la información transmitida utilizando las respectivas apps.

Teniendo en cuenta esto, junto con varias vulnerabilidades detectadas, y dado que en el contexto de la relación entre abogado y clientes puede ser habitual la comunicación y tratamiento de datos sensibles (artículo 7 LOPD), la utilización de las aplicaciones de Whatsapp y de Spotbros no resulta recomendable, en relación con la seguridad exigida por la LOPD y el RLOPD.

3. BIBLIOGRAFÍA REFERENCIADA

- [1] GT29 (GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS). “Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes”. 27 de febrero de 2013. 00461/13/ES. WP 202.

Dictamen 02/2013

- [2] Dutch Data Protection Authority. “Investigation into the processing of personal data for the ‘whatsapp’ Mobile application by WhatsApp. Inc.”. January 2013. PUBLIC VERSION. Z2011-00987.

Investigation Whatsapp

- [3] House of Commons Canada. “STATUTORY REVIEW OF THE PERSONAL INFORMATION PROTECTION AND ELECTRONIC DOCUMENTS ACT (PIPEDA)”. Fourth Report of the Standing Committee on Access to Information, Privacy and Ethics. May 2007. 39th PARLIAMENT, 1st SESSION.

PIPEDA

- [4] Diario Oficial de las Comunidades Europeas. “DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de fecha 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas)”. Publicado el 31 de julio de 2002.

Directiva 2002/58/CE

- [5] GT29 (GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS). “Dictamen 08/2010 sobre el Derecho aplicable”. 16 de diciembre de 2010. 0836-02/10/ES. WP 179.

Dictamen 08/2010

4. DERECHOS DE AUTOR

El Dictamen CNS-24/2013 de la APDCAT, de fecha 2 de julio de 2013, ha sido publicado por primera vez en la página web de la APDCAT (Autoritat Catalana de Protecció de Dades), una vez analizada la petición, vista la normativa vigente aplicable, el informe del Coordinador de Auditoría y Seguridad de la Información y el informe de la Asesoría Jurídica, ambos de la APDCAT.