El servicio de mensajería está siendo objeto de investigaciones en varios países por almacenar números de teléfono de millones de personas. Canadá y Holanda abren la veda con una advertencia conjunta.
Las autoridades de Protección de Datos de Canadá y Holanda –OPC y CBP, respectivamente–, acaban de lanzar una advertencia a WhatsApp, empresa de aplicaciones móviles con sede en California, por la invasión de la privacidad de millones de clientes en todo el mundo. Si la compañía continúa incumpliendo la ley, tomarán medidas sancionadoras.
Estas dos autoridades han coordinado sus investigaciones en lo que supone un caso de colaboración global pionero y al que puede unirse el regulador de EEUU, que también investiga la privacidad de WhatsApp. La Agencia Española de Protección de Datos (AEPD) es otra de las que sigue de cerca las prácticas de esta empresa.
Agendas telefónicas al descubierto
– El origen de la polémica
En mayo de 2011, se desveló la existencia de una vulnerabilidad en WhatsApp, que dejaba a disposición de los hackers las cuentas de todos sus usuarios, atacando la privacidad de WhatssApp. Se supo entonces que las comunicaciones a través de esta app no estaban encriptadas, es decir, que cualquiera que accediera a sus sistemas podría leer los mensajes. Un año después, se encriptaron, pero se cree que el código ha sido descubierto en varias ocasiones.
– La investigación de Holanda y Canadá
Las agencias de Protección de Datos de estos países han descubierto que, además, la propia WhatsApp almacenaba las agendas telefónicas de sus usuarios, entre las que había teléfonos de personas que no eran usuarias de la app.
– ¿Se ha solucionado el problema?
No hay constancia de que WhatsApp haya dejado de acceder a las agendas. La compañía borra los mensajes una vez que llegan al móvil receptor, de modo que un hacker nunca podría leerlos.
– ¿A qué riesgos han estado expuestos los usuarios?
WhatsApp asegura no utilizar ni vender a terceros los datos personales que almacena. Las filtraciones suelen dar lugar a spam y otros tipos de mensajes fraudulentos.
Jennifer Stoddart, comisaria de Privacidad de Canadá, reseña que «nuestra investigación ha llevado a WhatsApp a comprometerse a realizar cambios para proteger mejor la información personal de los usuarios».
Jacob Kohnstamm, presidente de la autoridad de protección de datos holandesa, añade que ésta todavía no está satisfecha: «La investigación reveló que los usuarios de WhatsApp –excepto los que tienen un iPhone con software iOS 6–, no tienen la posibilidad de usar la aplicación sin dar acceso a toda su agenda de contactos. La agenda contiene números de teléfono de usuarios y de no usuarios. Esta imposibilidad contradice la ley holandesa y canadiense de protección de datos».
A finales de 2012, también Google fue objeto de una investigación conjunta, en este caso de ámbito europeo, que estuvo liderada por la autoridad francesa de protección de datos (CNIL). Los cambios de sus términos y condiciones de privacidad dieron lugar a la publicación de una serie de recomendaciones a la empresa, que podrían inspirar futuras sanciones en algunos de los países miembros.
Existen, asimismo, precedentes de investigaciones a Google por parte de la autoridad española en cooperación con sus homólogos latinoamericanos.
El borrador del Reglamento Europeo de Protección de Datos incluye como gran novedad los mecanismos de asistencia mutua y las operaciones conjuntas e investigaciones por parte de las autoridades de control. No obstante, como en el caso de WhatsApp, los prestadores de servicios no siempre están en la Unión Europea.
Javier Fernández-Samaniego, socio director de Bird & Bird, recuerda que la AEPD española tuvo ya en 2009 una clara visión al aprobar la Resolución de Madrid sobre Estándares Internacionales de Privacidad ante la necesidad de contar con instrumentos de carácter legislativo, universal y vinculante que consagren el respeto a la privacidad y, a la vez, la libre circulación de los datos en el mundo. Con todo, Fernández-Samaniego recuerda que uno de los grandes retos legales de nuestros días es que las leyes de los Estados-nación territoriales no valen en un mundo globalizado.
Por otro lado, empresas consultadas dicen que no resulta muy incentivador el trato desigual que recibirían algunas compañías establecidas en territorios donde no llega la fuerza coercitiva del Estado, cuyas investigaciones concluyen en «recomendaciones», y los prestadores de servicios locales. La esperada respuesta del Tribunal de Justicia a la cuestión prejudicial planteada en el caso Google será muy determinante.
La CE ante las empresas de EEUU
El borrador del Reglamento Europeo de Protección de Datos incluye como gran novedad los mecanismos de asistencia mutua y las operaciones conjuntas e investigaciones por parte de las autoridades de control. Como en el caso de WhatsApp, los prestadores de servicios no siempre están en la UE.
La vicepresidenta de la Comisión y comisaria de Justicia, Viviane Reding, lleva varios años insistiendo en el mensaje de que empresas norteamericanas de Internet que prestan sus servicios en Europa deben cumplir con las normas europeas.
El borrador resultante de estas enmiendas endurece la anterior propuesta y fija multas máximas que podrían alcanzar el 2% de los ingresos globales de las compañías sancionadas. Queda por ver si la norma se aplicará de forma recurrente y consistente.
Fuente:Expansión.com