La publicación el día 2 de julio de 2013 de un Dictamen de la Autoridad Catalana de Protección de Datos sobre el uso de Whatsapp y Spotbros en el seno de las relaciones entre abogados y clientes debe hacernos recapacitar sobre la conveniencia del uso de este tipo de servicios en un marco más amplio como es el de cualquier entorno profesional.
Así, en el entorno de la empresa es común la utilización de sistemas de comunicación que garanticen un alto nivel de seguridad para salvaguardar la información que produce y maneja la entidad de modo que quede protegida frente a cualquier tipo de potencial injerencia externa. Por ello, resulta muy común encontrar implantadas en el ámbito empresarial soluciones que proporcionan procedimientos de cifrado y encriptación.
Básicamente, aplicaciones como las mencionadas anteriormente ofrecen a sus usuarios servicios de mensajería electrónica multiplataforma que permiten enviar y recibir mensajes, en muchos casos, de manera gratuita. Para procurar esas finalidades los usuarios crean perfiles y facilitan información al operador de la aplicación que, lógicamente, conlleva el tratamiento de los datos de los propios usuarios y de los receptores de los mensajes, lo que hace que –en la mayoría de los casos– el prestador de los servicios se perfile como un verdadero responsable del tratamiento de los datos y, como consecuencia, debería quedar sujeto a la normativa española sobre la materia.
En cuanto a la aplicabilidad de la normativa española de protección de datos (LOPD), en el artículo 2(1)(c) LOPD, se establece que la normativa española se aplicará a aquellos sujetos que, estando situados en un estado no perteneciente a la Unión Europea, utilicen medios para el tratamiento de datos personales situados en territorio español, salvo que tales medios se utilicen exclusivamente con fines de tránsito. Por lo tanto, a la mayoría de las entidades que ofrecen estas aplicaciones la normativa española les resulte inaplicable, al no tener establecimientos (conocidos) en territorio español en los cuales se lleven a cabo tratamientos de datos personales. Esto provoca que los eventuales incumplimientos de estas entidades, en cuanto a la normativa española de protección de datos, queden con frecuencia fuera del radar sancionador de la Agencia Española de Protección de Datos.
Violación de la normativa europea y española en protección de datos
Lo anterior resulta imprescindible para entender la manera de proceder de estos operadores en cuanto a la prestación de los servicios a sus usuarios. Así, al no existir un control efectivo por parte de las autoridades nacionales, estas entidades suelen ser “menos estrictas” en el cumplimiento de algunos principios básicos de la normativa europea y española de protección de datos como podrían ser, sin ánimo de ser exhaustivos, la no obtención del consentimiento del usuarios para realizar procedimientos de segmentación o cesiones de datos a terceros para usos que en pocos casos se desvelan; la realización de transferencias internacionales de datos sin informar ni recabar el consentimiento de los usuarios; y, lo que es muy relevante para el objeto de este artículo, la no asunción de un compromiso de seguridad técnica en relación con los tratamientos que se realizan de datos personales.
Por tanto, todo lo anterior a priori supone la violación de la mayor parte de los principios básicos de la normativa europea y española de protección de datos, en cuanto a las normas de obtención de consentimiento y a los deberes de información. En cuanto a lo que se refiere a las transferencias internacionales de datos que tienen lugar, la obtención del consentimiento de los usuarios mediante algún mecanismo válido en derecho podría relevar al desarrollador de la aplicación de la obligación que le concierne en relación con la obtención de la autorización del Director de la AEPD, en caso de que estas tengan como destino países que no ofrecen un nivel adecuado de protección de datos personales.
Cuidado con la lista de contactos
Asimismo, el uso de este tipo de aplicaciones conlleva el acceso por parte del gestor de la aplicación a la lista de contactos o agenda del usuario, el cual perdura en ocasiones incluso después de que el usuario haya eliminado la aplicación. Como consecuencia, en el caso de un uso de estas aplicaciones en un entorno profesional, puede producirse por parte del desarrollador de la aplicación un acceso a la información de contacto de los clientes, lo cual puede resultar poco conveniente.
En todo caso, el interés de esta información para el prestador de los servicios dependerá en gran manera de la forma en que los datos personales quedaron almacenados por el usuario en su agenda o lista de contactos. Por tanto, la posibilidad de identificar a los contactos dependerá de dos variantes: el nombre de contacto asignado por el usuario al contacto en su lista o agenda, y los tipos de información a los que acceda la aplicación.
A la vista de estas y otras circunstancias no abordadas en este breve comentario, parece poco recomendable la utilización de estos sistemas de comunicación en los entornos y para finalidades profesionales.
Rafael García del Poyo es abogado y socio responsable del Departamento de Derecho de los Negocios Digitales (Digital Business) de Osborne Clarke en Madrid. Es árbitro sobre comercio electrónico en la Junta Nacional Arbitral de Consumo con Confianza Online, sobre conflictos en materia de nombres de dominio con Red.es y en el Comité de Mediación y Arbitraje para la Energía y la Ingeniería con la AEADE.
from TICbeat http://feedproxy.google.com/~r/rwwes/~3/Ol9PHywjYIg/story01.htm