Los riesgos de utilizar WhatsApp para comunicaciones profesionales

Los mensajes por WhatsApp se han instalado en la vida cotidiana de millones de personas en un tiempo récord. Prácticamente todos los usuarios de smartphones utilizan a diario, y en ocasiones de una manera excesiva, una aplicación que permite enviar mensajes a tus contactos sin coste alguno (únicamente hay que pagar por la suscripción a la aplicación). Se utiliza para comunicarse con la familia, con amigos o compañeros de trabajo. Pero, ¿es seguro utilizar esta herramienta en entornos profesionales?

El pasado 2 de julio, la Autoridad Catalana de Protección de Datos (APDCAT) emitió un dictamen en el que analizaba los riesgos de la utilización de WhatsApp en entornos profesionales. En concreto, en las relaciones entre abogado y cliente. En su informe, este organismo llega a la conclusión de que no resulta recomendable la utilización de esta aplicación y de otra similar denominada Spotbros para actividades profesionales, en relación con la seguridad exigida por la Ley de Protección de Datos (LOPD).

whatsapp

Asimismo, recuerda que las webs de ambas plataformas indican que no pueden garantizar la seguridad de la información transmitida. En lo referente al deber de información que establece el artículo 5 de la LOPD, el dictamen señala que WhatsApp y Spotbros no ofrecen suficiente información al usuario. Este artículo obliga a la entidad que solicite datos personales a informar previamente al usuario de la existencia de un fichero, de la finalidad de la recogida de estos, de los destinatarios de la información, de la identidad y dirección del responsable del tratamiento o, en su caso, de su representante y de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición (ARCO), entre otros extremos.

Otro de los factores que desaconsejan la utilización de estos sistemas para comunicaciones profesionales con información que puede ser catalogada como sensible es que no ofrecen unas medidas de seguridad de nivel alto. El reglamento de desarrollo de la LOPD establece que hay que cifrar los datos que contengan los dispositivos portátiles cuando estos estén fuera de las instalaciones que están bajo el control del responsable del fichero.

WhatsApp ha introducido la encriptación de los mensajes, pero, aunque las conversaciones se transmitan de forma segura, quedan almacenadas en el terminal en una base de datos, incluida en la tarjeta de memoria, en el caso de smartphones con Android, como sistema operativo. Esta base de datos, a pesar de estar cifrada, tiene una contraseña que puede ser fácilmente conocida por terceros, de modo que si se tiene acceso a la tarjeta de memoria, se podría acceder a las conversaciones.

Además, el dictamen pone en duda la política de WhatsApp que hace referencia a que ni copia, ni guarda, ni archiva mensaje alguno. Y ello porque si se da el caso frecuente de que el receptor no está conectado, el mensaje se conserva en los servidores hasta que pueda ser entregado. Si en 30 días no se ha podido enviar, se elimina. Pero este periodo (un mes) es suficiente para que la APDCAT considere que los datos son objeto de tratamiento, lo que unido a la falta de seguridad de la información, conducen a una desprotección total de los mensajes.

Por encima de la encriptación de los mensajes, figura el hecho de que los usuarios de estas aplicaciones facilitan información al prestador de los servicios (WhatsApp o cualquier otra), el cual se convierte en responsable del tratamiento de los datos. Por ello, debería estar sujeto a la normativa española sobre la materia. No obstante, al no tener sede conocida en nuestro país, estas compañías permanecen ajenas al régimen sancionador que establece la LOPD y ejecuta la Agencia Española de Protección de Datos (AEPD). En el caso de Whatsapp, se somete a la jurisdicción californiana.