En la entrada anterior me referí a la empresa WhatsApp Inc. Ahora voy a hablar sobre el servicio WhatsApp Messenger y formular al final una reflexión sobre sus términos, condiciones y política de privacidad en relación con lo establecido por la normativa española de protección de datos personales.
Sobre WhatsApp Messenger
WhatsApp Messenger (WhatsApp) es una útil aplicación de mensajería multiplataforma para teléfonos inteligentes que permite enviar y recibir mensajes mediante Internet, sustituyendo a los servicios tradicionales de mensajes SMS. Además de ofrecer mensajería en modo texto, los usuarios que lo utilicen pueden crear grupos y enviarse mutuamente, imágenes, vídeos y grabaciones de audio. Actualmente esta aplicación está disponible para los sistemas operativos iOS (iPhone), Android, Windows Phone, BlackBerry y Nokia.
En relación a la obligatoriedad o fuerza vinculante de los “Terms of Sevice” y a la “Privacy Notice” WhatsApp Inc., si eres usuario de WhatsApp, deberías saber que:
- Las cláusulas y estipulaciones contractuales contenidas en ambos documentos, desde la perspectiva del Derecho español, constituyen condiciones generales de la contratación ya que han sido diseñadas íntegramente por WhatsApp Inc. para ser aplicadas, de modo general, a las operaciones masivas de descarga de la aplicación.
- Para poder disfrutar los servicios de WhatsApp Inc. tienes que asentir y aceptar incondicionadamente, sin posibilidad alguna de negociación, sus “Terms of Sevice” y su “Privacy Notice”. Dado que el usuario termina adhiriéndose al contenido contractual propuesto por la empresa, desde la perspectiva del consumidor contratante, nos encontramos frente a un contrato de adhesión.
- WhatsApp Inc. se reserva el derecho de modificar sus “Terms of Sevice” y su “Privacy Notice” en cualquier momento, siendo responsabilidad del usuario informarse de tales modificaciones.
Veamos lo que dicen los textos originales:
[box] Terms of Service:
11. General
“(…) These Terms of Service, together with the Privacy Policy at http://www.whatsapp.com/legal/#Privacy and any other legal notices published by WhatsApp, including, but not limited to an end user license agreement, shall constitute the entire agreement between you and WhatsApp concerning the WhatsApp Service. (…). WhatsApp reserves the right to amend or modify these Terms of Service at any time, and it is your responsibility to review these Terms of Service for any changes. If you do not agree to the revised Terms, your only recourse is to discontinue the use of the WhatsApp Service. Your continued use of the WhatsApp Service following any amendment of these Terms of Service will signify your assent to and acceptance of its revised terms.(…)” [/box]
[box] Privacy Notice:
Your Choices
“(…) If you do not agree with our Privacy Policy or Terms of Service, please delete your account, uninstall the WhatsApp mobile application and discontinue use of the WhatsApp Service; your continued usage of the WhatsApp Service will signify your assent to and acceptance of our Privacy Policy and Terms of Service.(…)” [/box]
Protección de datos personales
Desde la perspectiva del Derecho español, dato de carácter personal es “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables” (artículo 5.f del Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre). Según los “Terms of Sevice” y “Privacy Notice” de WhatsApp Inc. dicha compañía para poder ofrecerte su servicio de mensajería:
- Necesita conocer y guardar tu número de teléfono móvil.
- Accede periódicamente a tu libreta de direcciones de tus números de móvil o lista de contactos telefónicos a fin de localizar los números de teléfonos móviles de otros usuarios de WhatsApp (se advierte que no se recopilan nombres, domicilios ni correos electrónicos).
- Cada vez que utilizas el servicio la aplicación registra la fecha, la hora y los números de teléfono móvil desde donde se enviaron y recibieron los mensajes.
- Puede mostrar tu cuenta y tu foto de perfil a cualquier usuario de WhatsApp de cualquier país del mundo que tenga tu número de teléfono móvil; la única forma de evitarlo es bloqueando a dicho usuario.
- Los mensajes enviados a través de WhatsApp Messenger no son copiados, almacenados o archivados en el curso normal de los negocios de la empresa. Únicamente se guardan durante 30 días en sus servidores los mensajes enviados por un usuario-remitente a un usuario-destinatario cuando éste último no está conectado (online); después de este período los mensajes se eliminan.
- Almacena en sus servidores los archivos adjuntos enviados con tus mensajes (fotos, documentos, videos, audios, etc.) durante un período corto de tiempo que no se especifica cuánto dura (se advierte que no se asocian tales archivos con el nombre o teléfono móvil de un usuario específico).
- Asegura que no venderá o compartirá información personal del usuario con terceras empresas para fines comerciales a no ser que cuente para ello con su autorización.
- Se reserva el derecho de revelar los datos personales y no personales del usuario cuando ello pueda ser apropiado o necesario para hacer cumplir sus “Terms of Sevice”, investigar y defenderse de reclamaciones de terceros, ayudar a las agencias gubernamentales norteamericanas, proteger la seguridad o integridad del sitio web de WhatsApp Inc. o de sus servidores, además de la seguridad personal de sus usuarios.
- No permite que menores de 16 años utilicen sus servicios.
Publicidad y Cookies
Los “Terms of Sevice” y “Privacy Notice” de WhatsApp Inc. indican al respecto que:
- No es fan de la publicidad y que no tienen intención de introducir anuncios publicitarios como Google (http://blog.whatsapp.com/245/Por-qu%C3%A9-no-vendemos-publicidad), aunque deja abierta la posibilidad de poder hacerlo en futuro.
- Almacena e instala cookies, entre ellas las cookies de análisis, control y seguimiento (se trata de espías o chivatos informáticos introducidos en el equipo terminal del usuario con la finalidad de analizar su actividad en la red, su comportamiento en la web y cuando usa la aplicación WhatsApp Messenger). Por ello, WhatsApp Inc. conoce tu dirección IP, el tipo de navegador que usas, las páginas webs que visitas, los dominios de estas páginas, el número de clics que haces allí, y el tiempo que permaneces en cada una de ellas.
Veamos lo que dice el texto original:
[box] Privacy Notice:
“The Way WhatsApp Uses Information
We may use both your Personally Identifiable Information and certain non-personally-identifiable information (such as anonymous user usage data, cookies, IP addresses, browser type, clickstream data, etc.) to improve the quality and design of the WhatsApp Site and WhatsApp Service and to create new features, promotions, functionality, and services by storing, tracking, and analyzing user preferences and trends. (…) We may use cookies and log file information to: (a) remember information so that you will not have to re-enter it during your visit or the next time you use the WhatsApp Service or WhatsApp Site; (b) provide custom, personalized content and information; (c) monitor individual and aggregate metrics such as total number of visitors, pages viewed, etc.; and (d) track your entries, submissions, views and such.” [/box]
Obligaciones y responsabilidades
De acuerdo a los “Terms of Sevice” y “Privacy Notice” de WhatsApp Inc.
- Su servicio permite mostrar a los usuarios su “status submissions” o “estado” (ocupado, disponible, o uno personalizado). Cualquier información que publiques sobre tu “estado” se convierte en pública, es de tu exclusiva responsabilidad y, por tanto, no estará protegida (o sujeta) a su “Privacy Notice”.
- La compañía no responderá frente a sus usuarios por los daños causados derivados de cualquier uso no autorizado de sus cuentas. Entre los usos no autorizados se mencionan las interceptaciones al sistema producidas por terceros. Es decir, WhatsApp Inc. no asegura o garantiza la integridad y seguridad de la información transmitida por el usuario a través de sus sistemas. Al respecto tengo que advertir que, desde la perspectiva del Derecho español, previsiones de este tipo no pueden ser consideradas como una eximente de responsabilidad que, en función de la información tratada, pudieran resultar exigibles legalmente.
Veamos lo que señala el texto original:
[box] Privacy Notice:
“Our Commitment To Data Security
(…) Once we receive your transmission of information, WhatsApp makes commercially reasonable efforts to ensure the security of our systems. However, please note that this is not a guarantee that such information may not be accessed, disclosed, altered, or destroyed by breach of any of our physical, technical, or managerial safeguards.” [/box]
En la línea de lo antes indicado The Electronic Frontier Foundation ha publicado un cuadro de puntuación (Secure Messaging Scorecard: https://www.eff.org/secure-messaging-scorecard) donde se muestra el resultado de la evaluación realizada el año 2014 sobre el nivel de seguridad de 40 aplicaciones móviles, entre ellas WhatsApp, que no queda bien parada debido a que su sistema de seguridad no es fiable. El cuadro de puntuación muestra siete parámetros de análisis (nivel de encriptación de los mensajes, posibilidad de que el proveedor de la aplicación pueda acceder a las conversaciones, efectivos niveles de seguridad en el caso de que las claves de acceso sean robadas, posibilidad de averiguar la identidad de los usuarios, posibilidad de que entidades externas revisen de manera independiente el código en el que se basa la aplicación, existencia de una auditoría reciente del código, y existencia de documentación relativa al diseño de los sistemas de seguridad).
Reflexión final:
¿Cómo WhastApp Inc. protege, usa y trata nuestros datos de carácter personal?
Analizadas las reglas de juego establecidas por WhatsApp Inc. en sus “Terms of Service” y “Privacy Notice” con las gafas del Derecho español puede verse, rápidamente, que ellas no se ajustan a las exigencias establecidas por la Ley Orgánica de protección de datos de carácter personal, aprobada por Ley Orgánica 15/1999, 13 diciembre – LOPD (especialmente, lo referido al tratamiento de los datos que se pueden recoger y tratar, previsto en el artículo 4 de la LOPD; la exigencia de que el usuario debe recibir información detallada sobre las condiciones del tratamientos de sus datos cuando acepta instalar la aplicación, establecido en el artículo 5 de la LOPD; las medidas de seguridad que debe adoptar el responsable del tratamiento, previstas en el artículo 9 de la LOPD; el régimen de comunicación de datos, previsto en el artículo 11 de la LOPD, entre otras).
Al respecto, surgen dos preguntas claves sobre este asunto:
[box] (i) ¿Puede aplicarse el Derecho español de protección de datos personales a una empresa tecnológica domiciliada en los Estados Unidos de Norteamérica cuya aplicación móvil la utilizan usuarios desde España?, y
(ii) ¿La Agencia Española de Protección de Datos podría obligar con efectividad a WhatsApp Inc. a adecuar sus “Terms of Service” y “Privacy Notice” a lo establecido por la LOPD?[/box]
Para responder estas preguntas conviene conocer un Dictamen emitido por la Autoridad Catalana de Protección de Datos (APDCAT) el 2 de julio de 2013 en relación con el uso de las aplicaciones “WhatsApp” y “Spotbros” en el ámbito profesional de las relaciones entre abogado y cliente, a propósito de una consulta formulada por el Colegio de Abogados de Sabadell. En dicho Dictamen (que se basa en lo establecido por el GT29 en el Documento de trabajo relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos en el tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE, de 30 de mayo de 2002, y en el Dictamen 8/2010, sobre el Derecho aplicable, ambos disponibles en la web http://ec.europa.eu/justice/data-protection/article-29/index_en.htm) se dice algo interesante (apartado IV) que puede ayudarnos a responder las preguntas antes formuladas:
[box] “(…) si el responsable de un fichero o del tratamiento de datos personales utiliza medios ubicados en un Estado miembro de la UE, habrá que aplicar la ley nacional, en nuestro caso, la LOPD (considerando 20 y artículo 4.1.c) de la Directiva 95/46/CE, sobre protección del tratamiento de datos personales de las personas físicas). Por tanto, cuando Whatsapp se utiliza en dispositivos de usuarios que, como en el caso que nos ocupa, se encuentran en España, habría que considerar la aplicación de los principios y garantías de la LOPD. (….). También hay que tener en cuenta que el artículo 5.3 de la Directiva 2002/58/CE, sobre la privacidad y las comunicaciones electrónicas, prevé que en relación con el almacenamiento de información y la obtención de acceso a la información almacenada en el terminal de un abonado o usuario, se aplicará lo dispuesto en la Directiva 95/46/CE (en concreto, lo referido con el consentimiento y el deber de información al usuario). Por todo ello, se puede considerar que en relación con el tratamiento de datos de los usuarios de Whatsapp y Spotbros situados en España, resultan aplicables los principios y garantías de la LOPD.”[/box]
Por tanto, considerando que WhatsApp Inc. utiliza para la prestación de su servicio de mensajería instantánea, terminales situados en territorio español (operados por Movistar, Vodafone, Orange, Yoigo, Tuenti, Másmovil, etc.), a la misma le resultaría de aplicación la legislación española por lo que, para estos efectos, debería cumplir sin excepción los principios y garantías recogidos en la normativa española sobre protección de datos de carácter personal.
Sin embargo, este razonamiento impecable, en mi opinión, parece difícil de poder llevarse a la práctica si un usuario español decidiera denunciar a la compañía americana por vulneración de sus derechos ARCO (acceso, rectificación, cancelación u oposición de sus datos personales). Ello debido a que WhatsApp Inc. no cuenta actualmente con ningún establecimiento permanente domiciliado en España (no tiene ni sucursales ni filiales aquí) ni la Agencia Española de Protección de Datos tiene facultades para hacer cumplir sus resoluciones sancionadoras fuera del territorio español, y más difícil aún, fuera del Espacio Económico Europeo.
Nota: Este artículo fue publicado originalmente en el portal Lenguaje Jurídico el día 14 de abril de 2015. Dada la fecha de su publicación toma nota que no se encuentra actualizado. A fecha de hoy, debes saber que los términos y condiciones de uso y la política de privacidad de WhatsApp se han modificado recientemente y cambiarán a partir del día 8 de febrero de 2021. El principal cambio es que WhatsApp integrará datos con Facebook. Aquí el aviso que está enviando la compañía a sus usuarios: