17 septiembre 2013
Los riesgos del uso de Whatsapp en la relación abogado-cliente
Francisco Pérez Bes, vicepresidente de ENATIC y miembro de la Comisión Jurídica del Consejo General de la Abogacía Española
Con fecha 2 de julio de 2013, la Autoridad Catalana de Protección de Datos (APDCAT), emitió un Dictamen a solicitud del Colegio de Abogados de Sabadell, el cual solicitó a dicho organismo regulador a que se pronunciara en cuanto a los eventuales riesgos que puede implicar el uso de las conocidas aplicaciones de mensajería instantánea “Whatsapp” y “Spotbros” en el ámbito profesional de las relaciones entre abogado y cliente, así como respecto del grado de adecuación de dicha herramienta a la normativa de protección de datos.
Tras un detenido análisis de la citada aplicación, tanto desde un punto de vista técnico como de los términos y condiciones de uso, las conclusiones a las que llega la APDCAT respecto de la idoneidad de su uso en este caso, son las de desaconsejar dicho uso dentro del ámbito de la relación profesional antes citada.
En este sentido, la APDCAT concluye que, sin perjuicio de la eventual responsabilidad legal que pudiera corresponder a la citada plataforma por el inadecuado tratamiento de los datos de sus usuarios, el abogado tiene un grado de responsabilidad específico respecto al tratamiento de los datos de sus propios clientes, entre lo que se incluye la elección del canal de comunicación más adecuado para tales fines.
A esto hay que añadir que, para la Autoridad Catalana, está claro que en el contexto de la relación entre abogado y cliente puede ser habitual la comunicación y tratamiento de datos considerados sensibles de los definidos en el artículo 7 de la LOPD, como pueden ser, por ejemplo, datos de salud o datos relativos a la comisión de infracciones penales o administrativas.
Tal circunstancia, unida al hecho de haberse detectado diversas vulnerabilidades de seguridad, lleva a considerar que el uso de las aplicaciones analizadas en el ejercicio de la abogacía en España, no resulta recomendable, ya que aquellas no garantizarían la seguridad de la información exigida por la normativa de protección de datos.
Para la realización de este Dictamen, la APDCAT se basa en la Opinión 2/2013, de 27 de febrero de 2013, emitida por el Grupo de Trabajo del Artículo 29, sobre aplicaciones en dispositivos inteligentes (“Opinion 2/2013, on apps on smart devices”). También se hace referencia al Dictamen de la Autoridad de Protección de Datos holandesa, de enero de 2013 (“Investigation into the processing of personal data for the “whatsapp” Mobile application by WhatsApp. Inc.”), en el que se analizan las actividades de dicha app a la vista de la normativa europea de protección de datos y privacidad; y al Dictamen de la Autoridad Federal de Canadá (Office of the Privacy Commissioner of Canada), también de enero de 2013, sobre la ley canadiense de protección de datos (“Findings under the Personal Information Protection and Electronic Documents Act – PIPEDA”).
El Dictamen de la APDCAT, una vez analizados, de forma detallada, los términos y condiciones de uso de la citada aplicación de mensajería instantánea, sostiene que, en tanto en cuanto Whatsapp utiliza (al igual que Spotbros), para la prestación de sus servicios, terminales situados en territorio español, a la misma le resulta de aplicación la legislación española, por lo que, a estos efectos, debe cumplir –sin excepción- con los principios y garantías recogidos en la normativa española sobre protección de datos de carácter personal. En relación a este extremo, hay que recordar que el Considerando 24 de la Directiva 2002/58/CE ya reconoce que los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda la información almacenada en tales equipos forman parte de la esfera privada de los usuarios, lo que implica que la información personal a la que se acceda a través de aplicaciones, debe quedar protegida por la LOPD.
El alcance de la normativa europea en estos supuesto ya fue analizada por el Grupo de Trabajo del Artículo 29 en su Documento de 30 de mayo de 2002, sobre la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la Unión Europea; y el Dictamen 8/2010 sobre Derecho aplicable. Asimismo, el artículo 5.3 de la Directiva 2002/58/CE prevé que en relación con el almacenamiento de información y la obtención de acceso a la información almacenada en el terminal de un abonado o usuario, se aplica la Directiva 95/46/CE sobre el consentimiento y el deber de información al usuario.
EL ABOGADO, RESPONSABLE DEL TRATAMIENTO DE DATOS DE SU CLIENTE
Llegados a este punto, la APDCAT afirma, acertadamente, que la relación abogado-cliente no puede incluirse en la excepción de relación en un ámbito doméstico, tal y como recoge el artículo 2.a) de la LOPD. En este sentido, el abogado sería responsable del tratamiento de los datos de su cliente y de los ficheros en que aquellos se incluyen, de manera que deberá velar por el cumplimiento de la normativa de protección de datos.
La problemática en este ámbito se incrementa desde el momento en que apps como Whatsapp se reservan el derecho (y así lo indica en sus términos y condiciones) a acceder no sólo a los datos personales del usuario (entre los que se encuentran nombres y otros datos, como pueden ser fotografías), sino también a los de las personas que el usuario tiene como contactos en su agenda telefónica. Esto implica, afirma la Autoritat en su Dictamen, que el uso de esta aplicación por parte del abogado en su relación con su cliente puede generar un tratamiento de datos personales de aquellos de sus clientes que aparecen como contactos en la agenda de su terminal e, incluso, de terceras personas (porque, por ejemplo, sus datos aparezcan en un mensaje o en un adjunto que se difunda por ese canal). En tal caso, las obligaciones de la LOPD también alcanzan a esta práctica, sin que, a día de hoy, haya quedado acreditado que Whatsapp cumpla con aquellas.
Continúa el Dictamen realizando un análisis de la falta de adaptación de Whatsapp a la normativa sobre protección de datos en otros aspectos tales como el consentimiento para el tratamiento de datos y la obligación de información previa al tratamiento de datos.
Otro elemento clave a la hora de la aplicación de este análisis al sector de la abogacía, es el de la carencia de medidas de seguridad adecuadas. En efecto, uno de los ejes fundamentales en torno al cual gira la normativa de protección de datos es el que tiene que ver con el cumplimiento de las medidas de seguridad técnicas que deben aplicarse al tratamiento de información personal, dependiendo del tipo de información que se maneje y del nivel de protección que deba aplicarse en cada caso, de conformidad con lo dispuesto en el artículo 9 de la LOPD y correspondientes (Título VIII) del Reglamento de desarrollo.
En este caso en particular, el Dictamen hace especial hincapié en el hecho por el cual los propios términos y condiciones de la herramienta que ahora nos ocupa, ya reconocen, de manera expresa, la inexistencia de medidas de seguridad apropiadas para mantener la debida privacidad de la información que en ella circula. Hay que recordar que, conforme a la normativa aplicable, debe ser la plataforma la encargada de aplicar las medidas de seguridad legalmente exigibles. Tampoco hay que olvidar que el abogado ostenta, igualmente, ciertas obligaciones de diligencia que debe aplicar a la información que dispone de sus clientes.
En relación a este punto, el Dictamen es claro cuando dice: “que los propios responsables del tratamiento desaconsejen la comunicación de datos sensibles a través de la app, resulta especialmente relevante a la hora de que el usuario –el abogado en este caso- valore la conveniencia de utilizarla, desde la perspectiva de la protección de datos, ya que las comunicaciones entre abogados y clientes pueden incluir habitualmente datos sensibles, los cuales pueden quedar desprotegidos, como parecen admitir las propias empresas responsables”.
MENSAJES ENVIADOS A LOS SERVIDORES DE WHATSAPP
Además, en este caso, la política de privacidad de Whatsapp afirma que ni se copia ni se guarda ni se archiva el contenido de los mensajes que se envían. Pero los mensajes que escriben los usuarios de esta herramienta son enviados a los servidores de Whatsapp, para que puedan remitirse a los destinatarios de los mismos, siempre y cuando sean, a su vez, usuarios de Whatsapp. Cuando el destinatario del mensaje no está conectado, dicho mensaje se almacena durante un periodo de 30 días, fecha a partir de la cual se borra en el caso de que no pueda ser entregado. Así pues, y a la vista de las afirmaciones anteriores, relacionadas con la ausencia de medidas de seguridad aceptables por la normativa española, la información contenida en esos mensajes puede quedar desprotegida, de manera que terceros puedan acceder inconsentidamente a esos contenidos, los cuales pueden contener datos y otra información de carácter personal.
En particular, en lo que se refiere a las vulnerabilidades identificadas tras el estudio y análisis de la APDCAT, destacan, de un lado, debilidades en la protección de las contraseñas de los usuarios. Según afirma la autoridad holandesa, hace algunos meses se constató que resultaba relativamente sencillo suplantar la identidad de un usuario en Whatsapp y enviar y recibir mensajes de forma fraudulenta. Esta situación –según parece- fue corregida. Pero, a día de hoy sigue constando como vulnerabilidad el hecho de que tal contraseña queda almacenada en un archivo no cifrado del terminal en el que la app ha sido descargada, lo que permitiría accesos no autorizados por parte de terceros a los contenidos de los mensajes entre el abogado y su cliente, pudiendo –incluso- ser manipulados.
De otro lado, también el cifrado de información es objeto de análisis en este Dictamen, alcanzándose la misma conclusión en cuanto a la no observancia de las medidas de seguridad necesarias en aquellos casos en que los mensajes incluyan información de carácter sensible. En efecto, aún a pesar de que la información que, en forma de mensajes instantáneos, se transmite por la app, pueda estar encriptada, su almacenamiento en el terminal no es el adecuado para protegerla de acceso inconsentidos de terceros. Por lo que, de nuevo, nos encontramos ante una carencia crítica que convierte a esta app en no apta para que el abogado se relacione con su cliente.
Por último, el Dictamen de la APDCAT afirma haber acreditado que, desde un punto de vista técnico, se ha puesto de manifiesto que utilizando una API ajena a Whatsapp, un usuario podría distribuir contenidos de manera anónima. Tal hecho permitiría subir archivos (incluyendo virus), y distribuirlos a través de la plataforma, dejando patente un claro riesgo para la seguridad de la información que ahí se haya vertido.
Todo ello, lleva a la autoridad catalana a considerar que ni Whatsapp ni Spotbros, desde una perspectiva técnica, tampoco resultan adecuadas para un tratamiento de datos sensibles que, eventualmente, pueda compartir un ciudadano con su abogado.
Esta opinión de la Autoridad catalana resulta tremendamente importante, pues pone de manifiesto los riesgos que implica el uso de este tipo de apps y otros servicios de mensajería instantánea y de almacenamiento, cuyo uso generalizado y comodidad resultan innegables. Ahora bien, debemos tener en cuenta que el ejercicio de la abogacía exige que se den cumplimiento a otras obligaciones adicionales, como son –entre otras- la obligación de diligencia y secreto profesional. De este modo, se hace patente la cada vez mayor necesidad de identificar qué aplicaciones y otras herramientas resultan adecuadas para gestionar esta relación entre abogado y cliente, pues de otro modo podemos estar incurriendo en infracciones legales y deontológicas graves.