Go to Top

El Parlament regula l’ús de WhatsApp a les Administracions Públiques

Autor(s): Eduard Blasi

Àmbit(s): Risc a la xarxa

L’ús de les aplicacions de missatgeria instantània ha crescut de forma exponencial aquests darrers anys. De fet, un estudi de 2014 ja demostrava que el 96% dels espanyols preferia enviar un missatge abans que realitzar una trucada telefònica.

Per primer cop, el mes de gener de l’any 2013 les Autoritats de protecció de dades d’ Holanda i Canadà van publicar un informe conjunt en què alertaven de nombroses vulneracions de la normativa de protecció de dades de la que —ja en aquell moment— era l’aplicació de missatgeria instantània per excel·lència; Whatsapp. No obstant, malgrat les nombroses disconformitats detectades respecte la normativa de protecció de dades, les Autoritats de control europees, i fins i tot la canadenca, no podien exigir el compliment de les respectives normatives de protecció de dades atès que WhatsApp Inc. es trobava fora del seu marc competencial i tractava les dades a EEUU sota les lleis de l’Estat de Califòrnia.

El mateix any 2013, arrel d’aquests informes, l’Autoritat Catalana de Protecció de Dades (APDCAT) va elaborar un Dictamen, a petició d’un Col·legi professional, en el que alertava dels riscos en l’ús de WhatsApp en les relacions entre advocat i client. Aquest Dictamen va posar de manifest per primera vegada la responsabilitat de l’usuari derivada de l’ús d’eines o mitjans inadequats per al tractament de dades sensibles. Efectivament les autoritats de control europees no podien sancionar WhatsApp, però sí a l’usuari a qui correspon l’obligació d’elegir mitjans de comunicació adequats i conformes a la normativa. Així doncs, aquest Dictamen va assentar un precedent evidenciant la responsabilitat dels professionals que utilitzen ‘apps’ de missatgeria instantània inadequades atès que els correspon l’obligació de complir amb el marc normatiu espanyol de protecció de dades.

Posteriorment, el mes de setembre de l’any 2016, la Comissió d’Afers Institucionals, a instància del grup parlamentari de Ciutadans, va aprovar per unanimitat la Resolució 280/XI, sobre l’ús de serveis de comunicació pel Govern, amb la finalitat de limitar l’ús d’eines de missatgeria instantània que poguessin ser contràries a la normativa de protecció de dades. Aquesta Resolució, pionera a la Unió Europea, regula per primera vegada l’ús de la missatgeria instantània en les Administracions Públiques i imposa determinades obligacions, com ara “que tinguin els servidors en el territori de la Unió Europea”, de manera que exclourien ‘apps’ comunament utilitzades com ara WhatsApp o Telegram.

Arrel d’aquesta Resolució, l’APDCAT va elaborar un Dictamen que analitza les característiques quan han de tenir les aplicacions de missatgeria instantània per complir amb aquesta resolució i, a la vegada, amb la normativa europea de protecció de dades. Per tant, en aquest sentit i d’acord amb que estableix el Dictamen, el professional que vulgui utilitzar eines o aplicacions de missatgeria instantània haurà de tenir prèviament en compte aspectes tal com la informació personal que cal tractar, el consentiment de les persones afectades, les mesures de seguretat i l’avaluació d’impacte sobre la privacitat, els mecanismes de certificació, les transferències internacionals de dades (ubicació dels servidors) i el deure d’informació i transparència.

Així doncs, d’acord amb el Dictamen, cal que el professional realitzi un examen previ a l’aplicació de missatgeria en qüestió abans d’utilitzar-la, tenint en compte els aspectes anteriorment descrits, per tal de valorar si compleix amb les exigències dels principis i garanties de la normativa de protecció de dades.

Sens dubte, aquests últims anys, la majoria d’aplicacions de missatgeria instantània han incrementat substancialment la seguretat en les comunicacions. De fet, això ha contribuït a evitar que ciberdelinqüents i governs accedeixin de forma indeguda a les comunicacions dels usuaris.

Efectivament la seguretat és un element cabdal en els comunicacions, però no hem d’oblidar que la implementació de seguretat tan sols representa un aspecte de la normativa de protecció de dades. Per tant, el fet d’incorporar mesures de seguretat robustes no vol dir de facto que sigui conforme amb la normativa de protecció de dades, tal com recorda l’APDCAT en el Dictamen citat anteriorment.

Per tant, el fet d’incorporar un xifratge robust en la comunicació no comporta necessàriament el compliment de la normativa de protecció de dades i, per tant, no hauria de presumir-se la privacitat en la comunicació. La normativa de protecció de dades busca conciliar tant la seguretat com la privacitat. Aquests termes poden semblar a priori sinònims, però compten amb notables diferències.

Actualment existeixen gran quantitat d’aplicacions de missatgeria instantània al mercat. La majoria d’elles ofereixen un servei gratuït o pràcticament gratuït i sovint resulta un verdader misteri saber com aconsegueixen sustentar el seu negoci.

Les empreses que presten serveis a través d’Internet, així com la resta d’empreses, tenen unes despeses que necessàriament han de sufragar d’alguna manera. Grosso modo, alguns exemples d’aquestes despeses són els derivats del manteniment i ús de servidors, la programació i actualització de plataformes, la correcció de bugs, la implementació de mesures de seguretat constants, la prestació d’un servei d’assistència en el cas de problemes/incidències del servei, etc. Un bon servei comporta sens dubte d’un cost elevat per a les empreses.

Algunes empreses d’Internet han cobert aquestes despeses mitjançant el pagament directe de l’usuari per l’adquisició de llicències de software. No obstant, quan el producte no suposa un cost directe per l’usuari generalment s’utilitzen vies alternatives com l’ús de dades personals. En aquest sentit, les dades personals dels usuaris són una via d’ingressos per a les empreses atès que mitjançant la gestió d’aquestes poden oferir als usuaris publicitat relacionada amb els seus gustos o interessos, o fins hi pot vendre aquesta informació a terceres empreses.

Així doncs, la gratuïtat d’una aplicació hauria d’anul·lar qualsevol expectativa de privacitat de l’usuari atès que l’usuari ha de fer front, d’una manera o altra, a les despeses que comporta el servei utilitzat.

Amb tot això i davant d’aquest escenari, cal que l’usuari sigui prudent en l’elecció del mitjans de comunicació i, més enllà de les obligacions que estableix la normativa de protecció de dades, apliqui el criteri de coherència i sentit comú per tal de preservar el secret i la confidencialitat de les dades transmeses.

Deixa un comentari