COMUNICACIÓN MEDIANTE EL WHATSAPP ENTRE ABOGADO-CLIENTE
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
COMUNICACIÓN MEDIANTE EL
WHATSAPP ENTRE ABOGADO-
CLIENTE
Tras un detenido análisis de la citada aplicación, tanto desde un punto
de vista técnico como de los términos y condiciones de uso, las conclusiones a
las que llega la APDCAT respecto de la idoneidad de su uso en este caso, son
las de desaconsejar dicho uso dentro del ámbito de la relación profesional
antes citada.
Con fecha 2 de julio de 2013, la Autoridad Catalana de Protección
de Datos (APDCAT), emitió un Dictamen a solicitud del Colegio de
Abogados de Sabadell, el cual solicitó a dicho organismo regulador a que
se pronunciara en cuanto a los eventuales riesgos que puede implicar el
uso de las conocidas aplicaciones de mensajería instantánea “Whatsapp”
y “Spotbros” en el ámbito profesional de las relaciones entre abogado y
cliente, así como respecto del grado de adecuación de dicha herramienta
a la normativa de protección de datos.
Tras un detenido análisis de la citada aplicación, tanto desde un punto
de vista técnico como de los términos y condiciones de uso, las conclusiones a
las que llega la APDCAT respecto de la idoneidad de su uso en este caso, son
las de desaconsejar dicho uso dentro del ámbito de la relación profesional
antes citada.
En este sentido, la APDCAT concluye que, sin perjuicio de la
eventual responsabilidad legal que pudiera corresponder a la citada
plataforma por el inadecuado tratamiento de los datos de sus usuarios, el
abogado tiene un grado de responsabilidad específico respecto al
1
CLÁUSULA INFORMATIVA: El contenido de este documento tiene carácter confidencial, privado, pertenece al ámbito
del secreto profesional, y va dirigido a su destinatario. No se destinarán estos datos a otros fines que no sean recibir
comunicaciones comerciales por parte de esta empresa, sobre nuestros servicios y productos, y no se entregarán a
terceras personas conforme a la LOPD 15/1999, de 13 de diciembre. Si usted no desea seguir recibiendo nuestras
comunicaciones, o no es el destinatario indicado, debe efectuar notificación en tal sentido en la dirección de fax 984
081 875 y destruya el mensaje sin quedarse copia alguna, ni distribuirlo o revelar su contenido.
Campoamor 9 2º 33001 OVIEDO
984 186 927
984 081 875f
www.alfredogarcialopez.estratamiento de los datos de sus propios clientes, entre lo que se incluye la
elección del canal de comunicación más adecuado para tales fines.
A esto hay que añadir que, para la Autoridad Catalana, está claro que en
el contexto de la relación entre abogado y cliente puede ser habitual la
comunicación y tratamiento de datos considerados sensibles de los definidos
en el artículo 7 de la LOPD, como pueden ser, por ejemplo, datos de salud o
datos relativos a la comisión de infracciones penales o administrativas.
Tal circunstancia, unida al hecho de haberse detectado diversas
vulnerabilidades de seguridad, lleva a considerar que el uso de las aplicaciones
analizadas en el ejercicio de la abogacía en España, no resulta recomendable,
ya que aquellas no garantizarían la seguridad de la información exigida por la
normativa de protección de datos.
Para la realización de este Dictamen, la APDCAT se basa en la
Opinión 2/2013, de 27 de febrero de 2013, emitida por el Grupo de Trabajo
del Artículo 29, sobre aplicaciones en dispositivos inteligentes (“Opinion
2/2013, on apps on smart devices”). También se hace referencia al
Dictamen de la Autoridad de Protección de Datos holandesa, de enero de
2013 (“Investigation into the processing of personal data for the
“whatsapp” Mobile application by WhatsApp. Inc.”), en el que se analizan
las actividades de dicha app a la vista de la normativa europea de
protección de datos y privacidad; y al Dictamen de la Autoridad Federal
de Canadá (Office of the Privacy Commissioner of Canada), también de
enero de 2013, sobre la ley canadiense de protección de datos (“Findings
under the Personal Information Protection and Electronic Documents Act
– PIPEDA”).
El Dictamen de la APDCAT, una vez analizados, de forma detallada, los
términos y condiciones de uso de la citada aplicación de mensajería
instantánea, sostiene que, en tanto en cuanto Whatsapp utiliza (al igual que
Spotbros), para la prestación de sus servicios, terminales situados en territorio
español, a la misma le resulta de aplicación la legislación española, por lo que,
a estos efectos, debe cumplir –sin excepción- con los principios y garantías
recogidos en la normativa española sobre protección de datos de carácter
personal. En relación a este extremo, hay que recordar que el Considerando 24
de la Directiva 2002/58/CE ya reconoce que los equipos terminales de los
2
CLÁUSULA INFORMATIVA: El contenido de este documento tiene carácter confidencial, privado, pertenece al ámbito
del secreto profesional, y va dirigido a su destinatario. No se destinarán estos datos a otros fines que no sean recibir
comunicaciones comerciales por parte de esta empresa, sobre nuestros servicios y productos, y no se entregarán a
terceras personas conforme a la LOPD 15/1999, de 13 de diciembre. Si usted no desea seguir recibiendo nuestras
comunicaciones, o no es el destinatario indicado, debe efectuar notificación en tal sentido en la dirección de fax 984
081 875 y destruya el mensaje sin quedarse copia alguna, ni distribuirlo o revelar su contenido.
Campoamor 9 2º 33001 OVIEDO
984 186 927
984 081 875f
www.alfredogarcialopez.esusuarios de redes de comunicaciones electrónicas, así como toda la
información almacenada en tales equipos forman parte de la esfera privada de
los usuarios, lo que implica que la información personal a la que se acceda a
través de aplicaciones, debe quedar protegida por la LOPD.
El alcance de la normativa europea en estos supuesto ya fue
analizada por el Grupo de Trabajo del Artículo 29 en su Documento de 30
de mayo de 2002, sobre la aplicación internacional de la legislación
comunitaria sobre protección de datos al tratamiento de los datos
personales en Internet por sitios web establecidos fuera de la Unión
Europea; y el Dictamen 8/2010 sobre Derecho aplicable. Asimismo, el
artículo 5.3 de la Directiva 2002/58/CE prevé que en relación con el
almacenamiento de información y la obtención de acceso a la información
almacenada en el terminal de un abonado o usuario, se aplica la Directiva
95/46/CE sobre el consentimiento y el deber de información al usuario.
EL ABOGADO, RESPONSABLE DEL TRATAMIENTO DE DATOS DE SU
CLIENTE
Llegados a este punto, la APDCAT afirma, acertadamente, que la
relación abogado-cliente no puede incluirse en la excepción de relación en un
ámbito doméstico, tal y como recoge el artículo 2.a) de la LOPD. En este
sentido, el abogado sería responsable del tratamiento de los datos de su cliente
y de los ficheros en que aquellos se incluyen, de manera que deberá velar por
el cumplimiento de la normativa de protección de datos.
La problemática en este ámbito se incrementa desde el momento en
que apps como Whatsapp se reservan el derecho (y así lo indica en sus
términos y condiciones) a acceder no sólo a los datos personales del
usuario (entre los que se encuentran nombres y otros datos, como
pueden ser fotografías), sino también a los de las personas que el usuario
tiene como contactos en su agenda telefónica. Esto implica, afirma la
Autoritat en su Dictamen, que el uso de esta aplicación por parte del
abogado en su relación con su cliente puede generar un tratamiento de
datos personales de aquellos de sus clientes que aparecen como
contactos en la agenda de su terminal e, incluso, de terceras personas
(porque, por ejemplo, sus datos aparezcan en un mensaje o en un adjunto
que se difunda por ese canal). En tal caso, las obligaciones de la LOPD
3
CLÁUSULA INFORMATIVA: El contenido de este documento tiene carácter confidencial, privado, pertenece al ámbito
del secreto profesional, y va dirigido a su destinatario. No se destinarán estos datos a otros fines que no sean recibir
comunicaciones comerciales por parte de esta empresa, sobre nuestros servicios y productos, y no se entregarán a
terceras personas conforme a la LOPD 15/1999, de 13 de diciembre. Si usted no desea seguir recibiendo nuestras
comunicaciones, o no es el destinatario indicado, debe efectuar notificación en tal sentido en la dirección de fax 984
081 875 y destruya el mensaje sin quedarse copia alguna, ni distribuirlo o revelar su contenido.
Campoamor 9 2º 33001 OVIEDO
984 186 927
984 081 875f
www.alfredogarcialopez.estambién alcanzan a esta práctica, sin que, a día de hoy, haya quedado
acreditado que Whatsapp cumpla con aquellas.
Continúa el Dictamen realizando un análisis de la falta de adaptación de
Whatsapp a la normativa sobre protección de datos en otros aspectos tales
como el consentimiento para el tratamiento de datos y la obligación de
información previa al tratamiento de datos.
Otro elemento clave a la hora de la aplicación de este análisis al sector
de la abogacía, es el de la carencia de medidas de seguridad adecuadas. En
efecto, uno de los ejes fundamentales en torno al cual gira la normativa de
protección de datos es el que tiene que ver con el cumplimiento de las medidas
de seguridad técnicas que deben aplicarse al tratamiento de información
personal, dependiendo del tipo de información que se maneje y del nivel de
protección que deba aplicarse en cada caso, de conformidad con lo dispuesto
en el artículo 9 de la LOPD y correspondientes (Título VIII) del Reglamento de
desarrollo.
En este caso en particular, el Dictamen hace especial hincapié en el
hecho por el cual los propios términos y condiciones de la herramienta
que ahora nos ocupa, ya reconocen, de manera expresa, la inexistencia
de medidas de seguridad apropiadas para mantener la debida privacidad
de la información que en ella circula. Hay que recordar que, conforme a la
normativa aplicable, debe ser la plataforma la encargada de aplicar las
medidas de seguridad legalmente exigibles. Tampoco hay que olvidar que
el abogado ostenta, igualmente, ciertas obligaciones de diligencia que
debe aplicar a la información que dispone de sus clientes.
En relación a este punto, el Dictamen es claro cuando dice: “que los
propios responsables del tratamiento desaconsejen la comunicación de datos
sensibles a través de la app, resulta especialmente relevante a la hora de que
el usuario –el abogado en este caso- valore la conveniencia de utilizarla, desde
la perspectiva de la protección de datos, ya que las comunicaciones entre
abogados y clientes pueden incluir habitualmente datos sensibles, los cuales
pueden quedar desprotegidos, como parecen admitir las propias empresas
responsables”.
MENSAJES ENVIADOS A LOS SERVIDORES DE WHATSAPP
4
CLÁUSULA INFORMATIVA: El contenido de este documento tiene carácter confidencial, privado, pertenece al ámbito
del secreto profesional, y va dirigido a su destinatario. No se destinarán estos datos a otros fines que no sean recibir
comunicaciones comerciales por parte de esta empresa, sobre nuestros servicios y productos, y no se entregarán a
terceras personas conforme a la LOPD 15/1999, de 13 de diciembre. Si usted no desea seguir recibiendo nuestras
comunicaciones, o no es el destinatario indicado, debe efectuar notificación en tal sentido en la dirección de fax 984
081 875 y destruya el mensaje sin quedarse copia alguna, ni distribuirlo o revelar su contenido.
Campoamor 9 2º 33001 OVIEDO
984 186 927
984 081 875f
www.alfredogarcialopez.esAdemás, en este caso, la política de privacidad de Whatsapp afirma que
ni se copia ni se guarda ni se archiva el contenido de los mensajes que se
envían. Pero los mensajes que escriben los usuarios de esta herramienta son
enviados a los servidores de Whatsapp, para que puedan remitirse a los
destinatarios de los mismos, siempre y cuando sean, a su vez, usuarios de
Whatsapp. Cuando el destinatario del mensaje no está conectado, dicho
mensaje se almacena durante un periodo de 30 días, fecha a partir de la cual
se borra en el caso de que no pueda ser entregado. Así pues, y a la vista de las
afirmaciones anteriores, relacionadas con la ausencia de medidas de seguridad
aceptables por la normativa española, la información contenida en esos
mensajes puede quedar desprotegida, de manera que terceros puedan acceder
inconsentidamente a esos contenidos, los cuales pueden contener datos y otra
información de carácter personal.
En particular, en lo que se refiere a las vulnerabilidades
identificadas tras el estudio y análisis de la APDCAT, destacan, de un
lado, debilidades en la protección de las contraseñas de los usuarios.
Según afirma la autoridad holandesa, hace algunos meses se constató
que resultaba relativamente sencillo suplantar la identidad de un usuario
en Whatsapp y enviar y recibir mensajes de forma fraudulenta. Esta
situación –según parece- fue corregida. Pero, a día de hoy sigue
constando como vulnerabilidad el hecho de que tal contraseña queda
almacenada en un archivo no cifrado del terminal en el que la app ha sido
descargada, lo que permitiría accesos no autorizados por parte de
terceros a los contenidos de los mensajes entre el abogado y su cliente,
pudiendo –incluso- ser manipulados.
De otro lado, también el cifrado de información es objeto de análisis en
este Dictamen, alcanzándose la misma conclusión en cuanto a la no
observancia de las medidas de seguridad necesarias en aquellos casos en que
los mensajes incluyan información de carácter sensible. En efecto, aún a pesar
de que la información que, en forma de mensajes instantáneos, se transmite
por la app, pueda estar encriptada, su almacenamiento en el terminal no es el
adecuado para protegerla de acceso inconsentidos de terceros. Por lo que, de
nuevo, nos encontramos ante una carencia crítica que convierte a esta app en
no apta para que el abogado se relacione con su cliente.
5
CLÁUSULA INFORMATIVA: El contenido de este documento tiene carácter confidencial, privado, pertenece al ámbito
del secreto profesional, y va dirigido a su destinatario. No se destinarán estos datos a otros fines que no sean recibir
comunicaciones comerciales por parte de esta empresa, sobre nuestros servicios y productos, y no se entregarán a
terceras personas conforme a la LOPD 15/1999, de 13 de diciembre. Si usted no desea seguir recibiendo nuestras
comunicaciones, o no es el destinatario indicado, debe efectuar notificación en tal sentido en la dirección de fax 984
081 875 y destruya el mensaje sin quedarse copia alguna, ni distribuirlo o revelar su contenido.
Campoamor 9 2º 33001 OVIEDO
984 186 927
984 081 875f
www.alfredogarcialopez.esPor último, el Dictamen de la APDCAT afirma haber acreditado que,
desde un punto de vista técnico, se ha puesto de manifiesto que
utilizando una API ajena a Whatsapp, un usuario podría distribuir
contenidos de manera anónima. Tal hecho permitiría subir archivos
(incluyendo virus), y distribuirlos a través de la plataforma, dejando
patente un claro riesgo para la seguridad de la información que ahí se
haya vertido.
Todo ello, lleva a la autoridad catalana a considerar que ni Whatsapp ni
Spotbros, desde una perspectiva técnica, tampoco resultan adecuadas para un
tratamiento de datos sensibles que, eventualmente, pueda compartir un
ciudadano con su abogado.
Esta opinión de la Autoridad catalana resulta tremendamente
importante, pues pone de manifiesto los riesgos que implica el uso de
este tipo de apps y otros servicios de mensajería instantánea y de
almacenamiento, cuyo uso generalizado y comodidad resultan
innegables. Ahora bien, debemos tener en cuenta que el ejercicio de la
abogacía exige que se den cumplimiento a otras obligaciones adicionales,
como son –entre otras- la obligación de diligencia y secreto profesional.
De este modo, se hace patente la cada vez mayor necesidad de identificar
qué aplicaciones y otras herramientas resultan adecuadas para gestionar
esta relación entre abogado y cliente, pues de otro modo podemos estar
incurriendo en infracciones legales y deontológicas graves.
6
CLÁUSULA INFORMATIVA: El contenido de este documento tiene carácter confidencial, privado, pertenece al ámbito
del secreto profesional, y va dirigido a su destinatario. No se destinarán estos datos a otros fines que no sean recibir
comunicaciones comerciales por parte de esta empresa, sobre nuestros servicios y productos, y no se entregarán a
terceras personas conforme a la LOPD 15/1999, de 13 de diciembre. Si usted no desea seguir recibiendo nuestras
comunicaciones, o no es el destinatario indicado, debe efectuar notificación en tal sentido en la dirección de fax 984
081 875 y destruya el mensaje sin quedarse copia alguna, ni distribuirlo o revelar su contenido.
Campoamor 9 2º 33001 OVIEDO
984 186 927
984 081 875f
www.alfredogarcialopez.esTambién puede leer
