LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 16:10:06

LegalToday

Por y para profesionales del Derecho

Lo que deben saber los abogados que utilizan WhatsApp para comunicarse con sus clientes

Abogada especialista en Internet y Nuevas Tecnologías

El pasado 2 de julio la Autoridad Catalana de Protección de Datos (APDCAT) emitió un dictamen (CNS-24/2013) en el que resolvía la siguiente consulta que le formuló un Colegio de Abogados: analizar los riesgos que supone el uso de la aplicación WhatsApp en el ámbito profesional en las relaciones entre abogado y cliente, así como el grado de adecuación de dicha app a la normativa de protección de datos.

Icono de whatsapp en un ojo

Siguiendo la estructura de análisis que hace el organismo catalán, en este artículo se abordaran las conclusiones a las que ha llegado al respecto de la consulta planteada.

En primer lugar, se destaca el hecho de que cuando alguien instala WhatsApp en su dispositivo, la plataforma accede a todos los teléfonos de contacto almacenados en el mismo, con independencia de que dichos contactos sean o no usuarios de esta aplicación. Así, WhatsApp lee todos los números telefónicos de la agenda del usuario para comprobar cuales de ellos están registrado en la plataforma. 

Sobre la determinación de la legislación aplicable

Hay que tener en cuenta que el usuario que instala WhatsApp se obliga a someterse a la jurisdicción californiana en caso de que se produzca un conflicto legal entre él y la plataforma. Esta circunstancia implica que la normativa aplicable no seria la española. Además, esta empresa a través de sus condiciones de uso excluye la aplicación de cualquier otra normativa, como bien podría ser la europea.

No obstante, el considerando 20 y el artículo 4.1 c) de la Directiva 95/46/CE establecen que si el responsable utiliza medios que están en un Estado miembro de la UE, se deberá aplicar la ley nacional, esto es, la española: la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD). En este sentido, y dado que para prestar sus servicios WhatsApp utiliza terminales de usuarios que se ubican en territorio español, sí resulta de aplicación los preceptos de la LOPD.  

Partiendo de la base de que la normativa española en materia de protección de datos es de aplicación al supuesto de hecho consultado, cabe mencionar que en el funcionamiento de las app participan distintos sujetos como por ejemplo, las empresas titulares de las aplicaciones; las empresas que las crean, desarrollan o comercializan; las empresas que crean los dispositivos tecnológicos en las que se instalaran; entre otros. A efectos de protección de datos, ello deriva otro problema: la determinación del responsable o, como mínimo, determinar los grados de responsabilidad sobre el tratamiento de los datos de los usuarios de cada uno de los que intervienen. Lo cierto es que la APDCAT establece de antemano que el simple hecho de que intervengan tantas empresas ya supone en sí mismo un riesgo para la privacidad en la medida en la que uno de ellos incumpla las estipulaciones de la LOPD.

Sin embargo, parece que la APDCAT no quiere complicar más asunto y opta por abordar la cuestión solamente desde el punto de vista de las empresas que se encargan de la comercialización de WhatsApp. En este sentido y dado que dichas empresas son las que deciden el tipo de tratamiento que realizaran sobre los datos de los usuarios al elaborar las condiciones de uso de las app, devienen responsables del tratamiento ex. art. 3 d) LOPD. Y, en consecuencia, quedarán sometidas al régimen sancionador de dicha ley.

Sobre el contexto en el que se plantea la consulta: las comunicaciones entre abogado ejerciente en Cataluña y sus clientes

Resulta evidente que las comunicaciones entre abogado y cliente no se enmarcan en el ejercicio de una actividad personal o doméstica. Así las cosas, no procede la excepción prevista en el art. 2.2 a) LOPD y por tanto, se le exige aplicar los principios y garantías que establece la LOPD en relación al tratamiento de los datos personales. Ello determina que el abogado tiene el deber de elegir los canales de comunicación más idóneos para con sus clientes.

Hecha esta precisión, y recordando que un dato personal es cualquier información que identifica o hace identificable a una persona, la APDCAT determina que dicha app no solamente trata los datos del usuario -el abogado-, sino también los de sus contactos.  Ello incluye la foto de perfil, el estado, la fecha y hora de la última conexión de cualquier usuario de WhatsApp. A este respecto, hay que destacar que el organismo catalán es tajante en considerar esta información como datos de carácter personal por cuanto ofrecen información personal del usuario, aunque la empresa considere lo contrario. Asimismo, no solamente es objeto de tratamiento toda la información personal que contengan los mensajes de texto que se envíen, sino también la de los archivos que se adjunten.

Todo ello determina que el uso de WhatsApp conllevará un tratamiento de los datos del abogado y de sus clientes -incluso de terceras personas-, en la medida en que los números de teléfono de estos últimos estén almacenados en la agenda del terminal del profesional.

Se destaca que por la propia naturaleza de su relación, es posible que se transmitan informaciones que contengan datos personales que la ley califica de "especialmente protegidos" como por ejemplo lo son los relativos a la salud o a la comisión de infracciones penales. Este hecho evidencia aún más la necesidad de que se garantice la privacidad en este ámbito.

Por otro lado, la normativa de protección de datos exige que previamente al tratamiento de datos se recabe el consentimiento de los afectados. No obstante, y aceptando como cierto que desde el punto de vista técnico puede ser complicado recabar un consentimiento general, el Grupo de Trabajo del Artículo 29 recomienda a las empresas de este sector que soliciten un "consentimiento granular" esto es, que el usuario pueda seleccionar los contactos a los que permite el acceso de WhatsApp. Como quiera que dicha app tampoco ofrece esta posibilidad -salvo los usuarios de iPhone, según parece-, se puede considerar que está realizando un tratamiento excesivo de los datos.

Teniendo en cuenta que los números telefónicos de los clientes son datos personales por cuanto les identifican o les pueden identificar, la APDCAT recomienda que el abogado atribuya pseudónimos a sus contactos, lo que operará como una medida de protección contra todo uso indebido de la verdadera identidad de sus clientes. Bastaría cualquier nombre ficticio, código, o cualquier otro signo que se no sean su nombre ni apellidos reales. No obstante, dicha medida no evitará el "chequeo" que realiza WhatsApp en todos los contactos de la agenda del abogado.

Además, se constata que WhatsApp tampoco cumple con el deber de ofrecer toda la información que exige el art. 5 LOPD: ni instruye respecto de la forma en la que el usuario puede ejercer sus derechos ARCO, si designa representante alguno en España.

Por el mero hecho de estar sometido a la LOPD, WhatsApp tiene el deber de cumplir con las medidas de seguridad que impone la normativa. Si se observan sus términos de uso, esta empresa explicita que no puede garantizar la seguridad de la información que se transmite a través de su app, por lo que el usuario asume completamente el riesgo en todas las transmisiones. De este modo, el hecho de que los propios responsables desaconsejen la comunicación de datos sensibles a través de WhatsApp implica que el abogado valore si conviene usarla o no.

En relación al contenido propio de los mensajes que se envíen, según su política de privacidad WhatsApp "ni los copia, ni los guarda, ni los archiva". Sin embargo, el recorrido telemático que siguen los mensajes enviados hace pensar lo contrario: los mensajes escritos se envían a los servidores de WhatsApp y éstos los dirigen a sus destinatarios. Si el receptor no está conectado, el mensaje se conserva en los servidores hasta que pueda ser entregado. Si en treinta (30) días no se puede enviar, se elimina. Esto significa que los mensajes que no han podido ser entregados permanecen en los servidores de la plataforma como mínimo durante treinta (30) días, un período que a juicio de la APDCAT es suficiente para considerarse que son objeto de tratamiento. Aunando este hecho con la falta de garantía en la seguridad de la información, los datos personales que conforman los mensajes pueden quedar desprotegidos.

Y por si esto no fuera bastante, WhatsApp también ha destacado en el sector de la seguridad informática por sus vulnerabilidades ("agujeros" que debilitan la seguridad de un sistema informático). Entre ellas, predominan especialmente las referentes a:

  • Contraseñas: Aunque se ha mejorado la seguridad de la contraseña, se constata que se almacena en un archivo no cifrado y que mediante una app extraoficial se puede acceder a la misma, suplantar la identidad del usuario, acceder a los mensajes y manipularlos. Ello supone un grave riesgo para la privacidad de las conversaciones entre abogado-cliente.
  • Cifrado de la información: Teniendo en cuenta que los abogados deben aplicar medidas de seguridad de nivel alto, es imprescindible que toda la información que se contenga en dispositivos portátiles se cifre. WhatsApp ha incorporado un sistema de encriptación de los mensajes que hace que las conversaciones queden almacenadas en una base de datos del dispositivo que se incluye en la tarjeta de memoria. Si bien esta base de datos está cifrada, tiene una contraseña que puede ser conocida por terceros de modo que, si se consigue acceder a la tarjeta de memoria, se puede acceder también al contenido de los mensajes.
  • Virus: Si se utiliza una app extraoficial se pueden almacenar archivos de cualquier tipo y sin necesidad de identificación. Esto implica que dentro de esta amplia gama de "archivos" se incluyan archivos maliciosos (malware) de fácil distribución como virus, worms, troyanos, spyware, rootkits, entre otros. Lo que conlleva un grave riesgo para la seguridad de la información.   

Por todo ello, la Agencia Catalana de Protección de Datos concluye, desde el punto de vista técnico, que la utilización de la aplicación WhatsApp no es adecuada para las comunicaciones entre abogados y clientes en relación con la seguridad que exige la LOPD y el RLOPD. Y a las mismas conclusiones llega al analizar la aplicación "Spotbros".

En resumen…

  1. En las relaciones abogado-cliente se aplica la LOPD;
  2. La LOPD también se aplica en relación al tratamiento de datos de usuarios de WhatsApp;
  3. WhatsApp no ofrecer suficiente información al usuario ni establece un consentimiento granular para tratar sus datos;
  4. WhatsApp no garantiza la seguridad de la información y se han detectado vulnerabilidades técnicas que suponen un grave riesgo para la seguridad de los datos.
  5. El abogado debe elegir los canales de comunicación más adecuados. Es su responsabilidad;
  6. No se recomienda que los abogados utilicen WhatsApp para comunicarse con sus clientes y más, teniendo en cuenta el tipo de información y datos personales que manejan.

Como reflexión final a resultas de lo anterior y en aras de garantizar y preservar al máximo la privacidad de los demás -sean o no usuarios de la app-, ¿sería mejor y una buena práctica que los abogados que hayan instalado WhatsApp no almacenaran en el smartphone ningún número telefónico de sus clientes? ¿O mejor desinstalar la app y sanseacabó? Quizá ambas sean no sean las únicas, pero sí son buenas formas de evitar el acceso "indiscreto" de WhatsApp a los datos personales que pueda contener el móvil de un letrado.

Por otro lado, ¿y qué ocurre con los números telefónicos de línea fija de los clientes? (para los que aún la conserven). Una respuesta posible siguiendo el criterio de la APDCAT, llevaría a concluir que el abogado podría almacenarlos en su teléfono pero sería conveniente hacer uso de la recomendación de atribuirles un pseudónimo. Pues, aunque los números de línea fija no pueden ser usuarios de WhatsApp, cuando el usuario instala la app le da permiso para acceder a todos los contactos de su agenda, lo que implica que necesariamente dichos números también sean objeto del chequeo que realiza la aplicación. Y precisamente, esto se demuestra cuando solamente nos ofrece como usuarios posibles a los que enviar mensajes los que figuran como usuarios registrados de la plataforma, descartando todos los demás esto es, los números telefónicos de líneas fijas y los de línea móvil que no han instalado la aplicación.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.