NO TODO VALE…

A finales de Agosto, WhatsApp dio opción a sus más de mil millones de usuarios a desactivar la opción de “compartir datos” (número de teléfono, lista de contactos…). Y fijó un límite para poder hacerlo: 30 días. El objetivo era que los datos de WhatsApp pasaran, de manera oficial, a pertenecer a Facebook, su empresa matriz, y así potenciar su herramienta publicitaria (su verdadero negocio). Era un cambio importante en su política de uso y los usuarios que no lo hicieron antes de finalizar el plazo, o abandonaban WhatsApp o quedaban obligados a aceptar la nueva política.

Pero, pasado el plazo, llegó la primera denuncia desde Alemania al considerar que la decisión no se ajustaba a la normativa relativa a la protección de datos, y prohibió a Facebook “recopilar y registrar” los datos de los usuarios alemanes de WhatsApp. La Agencia de Protección de Datos de Hamburgo impuso una orden administrativa para detener la recolección masiva de información personal, así como borrar los datos ya enviados a la empresa a través de la aplicación-

  • «Tiene que ser decisión de los usuarios si quieren que sus cuentas estén vinculadas con Facebook, quien debería pedirles una autorización previa. Y esto no ha sucedido»

declararon desde el órgano regulador alemán, quienes también recordaron que Facebook y WhatsApp se califican de “empresas independientes”, por lo que esta situación de recabar datos atenta contra los acuerdos firmados para la adquisición de la compañía de mensajería. También añadieron que

  • «El hecho de que esto suceda ahora no es solo engañar a sus usuarios y al público, también constituye una infracción de la legislación nacional de protección de datos. Este intercambio es solo admisible si ambas empresas han establecido una base legal para hacerlo. Facebook, sin embargo, ni ha obtenido una aprobación previa de los usuarios de WhatsApp, ni tampoco cuenta con una base legal para los datos».

EL “SPAM” POR WHATSAPP, SANCIONADO POR LA AEPD

Aunque en casos anteriores en los que la Agencia Española de Protección de Datos (AEPD) había iniciado procedimientos por el envío de publicidad no deseada (“spam”) a través de la aplicación “WhatsApp”

  • Uno fue archivado por haber prescrito (+ de 6 meses),
  • Otro se archivó por aplicación de la presunción de inocencia,
  • Y en el tercero tan solo se apercibió al denunciado,

el pasado mes de noviembre, la AEPD sancionó con 600 euros (infracción leve) a una empresa dedicada al ocio nocturno, siendo esta sanción la primera por lo que respecta al envío de spam a través de WhatsApp.

WHATSAPP: Con el “pantallazo” ya no basta…

El Tribunal Supremo aclara que admitirá los mensajes, pero solo si van acompañados de un informe pericial.

Hasta ahora era habitual aportar “pantallazos” de whatsapps para acreditar determinadas circunstancias o incumplimientos en los litigios por divorcio y en los procedimientos de guarda y custodia de los hijos. Ahora, quien pretenda aportar este tipo de pruebas deberá acompañarlas de un informe pericial que acredite que los mensajes que aporta son ciertos y reales (sentencia del Tribunal Supremo 300/2015 de la Sala de lo Penal).

La mayoría de jueces ha estado admitiendo la aportación de “pantallazos” de redes sociales o sistemas de mensajería, para luego analizar su valor probatorio al dictar sentencia; la sentencia del Tribunal Supremo indica que si una de las partes impugna la autenticidad de los “pantallazos“, porque le perjudican, quien pretenda aprovecharlos como prueba tiene que acreditar que son válidos y reales y que no se han manipulado añadiendo o quitando frases mediante un informe pericial. Entra en escena la figura del perito informático o de telecomunicaciones, que deberá identificar el verdadero origen de la comunicación, la identidad de los interlocutores y la integridad del contenido, y aportar este dictamen técnico al juez (dos hackers españoles lograron cambiar el remitente de los mensajes enviados a través de esta aplicación, poniendo con ello en entredicho la credibilidad de estos mensajes; es por ello que diversos jueces habían expresado dudas sobre la validez probatoria de los whatsapps).

A partir de ahora, todos los tribunales han de aplicar el criterio del Supremo y, aunque la sentencia habla sólo de los whatsapps, se hace extensiva a los sistemas de mensajería de otras redes como Facebook y también a e-mails y SMS.

Los mensajes que se aporten como prueba han de formar parte siempre de una conversación en la que esa persona ha participado, no de conversaciones de terceros que se hayan interceptado espiando sus móviles, puesto que las comunicaciones son siempre privadas, incluidas las del cónyuge (los jueces castigan con prisión la apropiación de archivos informáticos entre cónyuges, incluso si se han cogido para demostrar una infidelidad).

¡ …. A POR UN TROZO DE LA TARTA DE WHATSAPP !

Si primero fue Telegram (que, dicen, se diferencia de ella por su encriptación “más segura, basada en nube y fuertemente cifrada”) ahora son unas renovadas Snapchat y FireChat las que quieren apropiarse de una parte de la tarta de WhatsApp, que actualmente cuenta con unos 800 millones de usuarios.

Snapchat es una aplicación para dispositivos móviles que sirve para compartir imágenes que solo pueden verse durante un determinado periodo de tiempo.

FireChat, por su parte, ofrece la posibilidad de enviar mensajes privados sin conexión en tiempo real, algo interesante en conciertos y eventos multitudinarios donde las redes se saturan, o cuando viajamos en avión. Ver http://goo.gl/LnHcMG.

CAUTELAS EN EL USO DE “WHATSAPP”, “GOOGLE DRIVE”, “DROPBOX”, Y OTROS, EN LAS EMPRESAS

IRENE3   Artículo de Irene LÓPEZ, Socia-Directora

Estamos en tiempos de ciberataques y las empresas invierten recursos en la protección de sus sistemas de información. Pero el día a día nos demuestra que los usuarios de estos sistemas tienen a su alcance una serie de herramientas cuyo uso puede resultar una amenaza para la seguridad y confidencialidad de los datos de la empresa.

Deben detectarse vulnerabilidades evidentes, como lo son el uso de aplicaciones de mensajería instantánea o de servicios en la nube (“cloud”) que se han popularizado entre los usuarios a nivel particular y cuya utilización se extiende en las empresas comprometiendo la seguridad de éstas.

Pongamos como ejemplo el uso de WhatsApp por parte de los empleados de una empresa como vía de comunicación con clientes, otros empleados, colaboradores… transmitiendo, a través de este canal, información privada o datos importantes del negocio. WhatsApp tiene serias deficiencias frente a la privacidad y la seguridad; pero, sin embargo, se llega a ofrecer a los clientes como alternativa para el envío de información.

Pensemos también en el uso de servicios de almacenamiento de datos en la nube como Google Drive y Dropbox. Desde el punto de vista de protección de datos personales, cualquier empresa sujeta al cumplimento de esta normativa es responsable del tratamiento de los datos de sus clientes, clientes potenciales… Por lo tanto, al almacenar estos datos en servicios como Google Drive y Dropbox, la empresa debe suscribir con los proveedores el correspondiente contrato de encargado del tratamiento conforme al artículo 12 de la LOPD, hecho que -normalmente- no se lleva a cabo. Además, en las condiciones del servicio que estos proveedores facilitan, prevén la modificación de éstas de modo unilateral por su parte y en cualquier momento, y no concretan el uso que se da a los datos, ni el destino de la información una vez finalice el servicio. Estos servicios, a priori, presentan ciertas garantías de cumplimiento de la normativa de protección de datos, como su adhesión al acuerdo US-EU-Safe Harbor y certificaciones sobre medidas de seguridad (ISO 27001); pero la deslocalización de los datos (ya que en sus políticas se prevé la posibilidad de almacenar información en cualquier parte del mundo) supone una pérdida de control de la información por parte de la empresa. La ausencia de auditorías de protección de datos personales, que establezcan la conformidad de las medidas de seguridad que establece el Reglamento de la LOPD, hace que estos servicios presenten carencias que pueden afectar a la seguridad y confidencialidad de la información almacenada.

Por lo tanto, hay que reflexionar a la hora de compartir documentos relevantes, datos de carácter personal o información que pueda comprometer el negocio en este tipo de aplicaciones o servicios, y determinar qué otras herramientas se encuentran en el mercado para cubrir las necesidades de la empresa y que presentan menos riesgos para nuestro negocio, tras el estudio de las opciones de privacidad y seguridad que nos ofrecen.

Es indudable la necesidad de formar al usuario, que también debe aprender a protegerse y ser consciente de que la seguridad en el negocio depende también de él mismo, además de establecer -por la empresa- normas internas de uso de los recursos informáticos y llevar a cabo un control sobre su cumplimiento.

@IreneLL6