Protección de Datos desde el diseño en WhatsApp

Deja una respuesta

La aplicación de los principios de protección de datos desde el diseño y por defecto recogidos en el RGPD debería llevar consigo, en mi opinión, una concienzuda revisión del software que subyace en el funcionamiento de las redes sociales o de las aplicaciones más utilizadas en la actualidad.

Habitualmente, la facilidad de uso de una aplicación se opone a su seguridad y, en concreto, a la relativa a la privacidad del usuario. Un ejemplo de ello se puede encontrar en la aplicación WhatsApp: ¿Puede WhatsApp basar de forma segura la identificación de usuario exclusivamente en su número telefónico, como ha hecho de forma ineludible hasta fecha muy reciente? Sin duda, la respuesta es no, ya que el usuario al que un operador de red asigna un determinado número de teléfono puede dejar de tenerlo asignado y, de hecho, lo deja de tener frecuentemente. Por ejemplo, cuando el usuario se da de baja en el operador sin ejercer su derecho a la portabilidad o cuando una tarjeta SIM de prepago se deja de recargar durante un periodo superior al admitido por el operador.

Al quedar libre por cualquier razón el número asignado al usuario, el operador de red lo asignará de nuevo en un periodo de tiempo probablemente no muy grande, dada la escasez de numeración disponible.

Una de las consecuencias negativas que se derivan de ello, dada la implementación de la aplicación WhatsApp, es que, si el usuario anterior no ha tenido la precaución de darse de baja en dicha aplicación, cuando el nuevo usuario se dé de alta en ella sin activar la verificación opcional de la identidad mediante código de 6 dígitos recientemente introducida (verificación en dos pasos), WhatsApp no tendrá manera de saber que se trata de un nuevo usuario y le descargará datos personales del anterior, tales como su foto, sus chats o los contactos participantes en estos chats, con los que el nuevo usuario podría, si quisiese, seguir manteniendo conversaciones sin que aquellos advirtieran que el usuario real ha cambiado[1]. Esto, además de ser una cesión no consentida de datos por parte de WhatsApp, de cuya posibilidad desde luego no advierte en su Política de Privacidad, lo que sería sancionable ya con la legislación actual, supone un ejemplo evidente de negación de los principios de protección de datos desde el diseño y por defecto del RGPD, ya que no es admisible semejante agujero de privacidad sin haberlo advertido en un mínimo análisis durante la fase de diseño de la aplicación.

Es evidente que un número telefónico no puede ser un identificador único de usuario, máxime teniendo en cuenta que la aplicación es de uso global y que la asignación de números telefónicos está sometida a las diferentes condiciones existentes en la normativa de cada país. Si se prioriza la protección de datos desde que se comienza el diseño de una aplicación, como es preceptivo según el nuevo RGPD, es necesario establecer un método suficientemente robusto para evitar la suplantación de identidad, incluso inadvertida para el propio “suplantador”. Por ello, la verificación en dos pasos de la identidad debería ser preceptiva, en lugar de ser opcional como lo es actualmente.

Otra consecuencia negativa para el funcionamiento de WhatsApp, también derivada de identificar al usuario únicamente por su número telefónico, consiste en la posibilidad de mantener inadvertidamente conversaciones con alguien desconocido a quien hayan asignado el número telefónico de un contacto nuestro que ha abandonado dicho número sin darse de baja en WhatsApp. Sería de nuevo aplicable la anterior nota a pie de página si se ha habilitado la detección.

Durante el año pasado hemos asistido a una intensa campaña por parte de WhatsApp para ser percibido como un adalid de la privacidad en base a la inclusión del protocolo Signal para el cifrado de mensajes extremo a extremo, manifestando que nadie al margen de los interlocutores de un mensaje, ni siquiera el propio WhatsApp, puede acceder a su contenido. Esto, visto lo anterior, además de tratarse de una pura cuestión de fe mientras su software cliente no sea abierto, ya que ese software presenta el contenido del mensaje en la pantalla del terminal y por tanto existe la posibilidad de que lo cifre también con otra clave, lo transmita donde quiera, o haga lo que le venga en gana sin advertir de todo ello al usuario, es como tener una caja fuerte con otra puerta a la calle sin cerradura.

[1] Tan sólo podrían percibir que el usuario ha cambiado de terminal, siempre que haya habilitado en la configuración de su app esa opción que no lo está por defecto.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar estos tags y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

En cumplimiento de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informo que los datos personales recogidos mediante este formulario serán tratados de forma confidencial, sin que, salvo con su consentimiento expreso, vayan a ser cedidos fuera de los casos legalmente permitidos, y quedarán incorporados al fichero "COMENTARIOS BLOG ABOGADOTELECO", cuya finalidad es la gestión, presentación y seguimiento de los comentarios realizados en este blog. Mediante el envío de la información anterior, presta Ud. su consentimiento al tratamiento descrito, así como a la publicación en este sitio web de los datos requeridos en el formulario. Los derechos de acceso, rectificación, cancelación y oposición podrán ejercerse ante José Luis García Gómez, responsable del fichero, solicitándolo a la dirección jl@abogadoteleco.es o mediante escrito dirigido a la dirección que figura en la página de contacto.