En el marco de una consulta formulada el pasado 2 de julio por un Colegio de Abogados a la Autoridad Catalana de Protección de Datos (APDCAT), se emitió un dictamen (CNS-24/2013) en el que se analizaron los riesgos que supone el uso de la aplicación WhatsApp en el ámbito profesional en las relaciones entre abogado y cliente, así como el grado de adecuación de dicha app a la normativa de protección de datos.
Al efecto, en un reciente artículo especializado se destaca el hecho de que cuando alguien instala WhatsApp en su dispositivo, la plataforma accede a todos los teléfonos de contacto almacenados en el mismo, con independencia de que dichos contactos sean o no usuarios de esta aplicación. Así, WhatsApp lee todos los números telefónicos de la agenda del usuario para comprobar cuáles de ellos están registrados en la plataforma.
En cuanto a la legislación aplicable, se arguye que el usuario que instala WhatsApp se obliga a someterse a la jurisdicción californiana en caso de que se produzca un conflicto legal entre él y la plataforma. Esta circunstancia implica que la normativa aplicable no sería la española. Además, esta empresa a través de sus condiciones de uso excluye la aplicación de cualquier otra normativa, como bien podría ser la europea.
No obstante, el considerando 20 y el artículo 4.1 c) de la Directiva 95/46/CE establecen que si el responsable utiliza medios que están en un Estado miembro de la UE, se deberá aplicar la ley nacional, esto es, la española: la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD). En este sentido, y dado que para prestar sus servicios WhatsApp utiliza terminales de usuarios que se ubican en territorio español, sí resulta de aplicación los preceptos de la LOPD.
Sobre el contexto en el que se plantea la consulta: las comunicaciones entre abogado ejerciente en Cataluña y sus clientes, se aduce en la publicación que resulta evidente que las comunicaciones entre abogado y cliente no se enmarcan en el ejercicio de una actividad personal o doméstica. Así las cosas, no procede la excepción prevista en el art. 2.2 a) LOPD y por tanto, se le exige aplicar los principios y garantías que establece la LOPD en relación al tratamiento de los datos personales. Ello determina que el abogado tiene el deber de elegir los canales de comunicación más idóneos para con sus clientes.
Hecha esta precisión, y recordando que un dato personal es cualquier información que identifica o hace identificable a una persona, la APDCAT determina que dicha app no solamente trata los datos del usuario -el abogado-, sino también los de sus contactos. Ello incluye la foto de perfil, el estado, la fecha y hora de la última conexión de cualquier usuario de WhatsApp. A este respecto, hay que destacar que el organismo catalán es tajante en considerar esta información como datos de carácter personal por cuanto ofrecen información personal del usuario, aunque la empresa considere lo contrario. Asimismo, no solamente es objeto de tratamiento toda la información personal que contengan los mensajes de texto que se envíen, sino también la de los archivos que se adjunten.
Todo ello determina que el uso de WhatsApp, se expone, conllevará un tratamiento de los datos del abogado y de sus clientes -incluso de terceras personas-, en la medida en que los números de teléfono de estos últimos estén almacenados en la agenda del terminal del profesional.
Teniendo en cuenta que los números telefónicos de los clientes son datos personales por cuanto les identifican o les pueden identificar, se agrega luego, la APDCAT recomienda que el abogado atribuya pseudónimos a sus contactos, lo que operará como una medida de protección contra todo uso indebido de la verdadera identidad de sus clientes. Bastaría cualquier nombre ficticio, código, o cualquier otro signo que se no sean su nombre ni apellidos reales. No obstante, dicha medida no evitará el «chequeo» que realiza WhatsApp en todos los contactos de la agenda del abogado.
En relación al contenido propio de los mensajes que se envíen, manifiesta enseguida la publicación que, según su política de privacidad, WhatsApp «ni los copia, ni los guarda, ni los archiva». Sin embargo, el recorrido telemático que siguen los mensajes enviados hace pensar lo contrario: los mensajes escritos se envían a los servidores de WhatsApp y éstos los dirigen a sus destinatarios. Si el receptor no está conectado, el mensaje se conserva en los servidores hasta que pueda ser entregado. Si en treinta (30) días no se puede enviar, se elimina. Esto significa que los mensajes que no han podido ser entregados permanecen en los servidores de la plataforma como mínimo durante treinta (30) días, un período que a juicio de la APDCAT es suficiente para considerarse que son objeto de tratamiento. Aunando este hecho con la falta de garantía en la seguridad de la información, los datos personales que conforman los mensajes pueden quedar desprotegidos.
Por todo ello, la Agencia Catalana de Protección de Datos concluye, desde el punto de vista técnico, que la utilización de la aplicación WhatsApp no es adecuada para las comunicaciones entre abogados y clientes en relación con la seguridad que exige la LOPD y el RLOPD. Y a las mismas conclusiones llega al analizar la aplicación «Spotbros».
Lea texto íntegro de la publicación.
RELACIONADOS
* Comisión de Economía aprobó algunos aspectos del mensaje que modifica la ley de protección de datos personales…
* Ejecutivo propone introducir enmiendas en la Ley sobre protección de la vida Privada y de datos de carácter personal…
* CPLT acoge amparo de acceso a la información pública contra CNCA por no otorgar copia de e-mails contenidos en correo electrónico institucional de ex funcionaria…
* Parlamentarios proponen establecer el principio de finalidad en el tratamiento de datos personales…
* Fue publicada ley que consagra el principio de neutralidad en la red para los consumidores y usuarios de Internet y garantiza igualdad de acceso y privacidad…