Hace pocos días la justicia europea declaró ilegal la retención de datos por parte de los proveedores de servicios de comunicación. Anulando la Directiva de 2006, Bruselas pone en el ojo de mira el debate de la confidencialidad de los datos personales. Y como la sociedad es más rápida que la legislación, se plantea actualmente la disyuntiva sobre los servicios de mensajería instantánea en el ámbito comercial.
Este tipo de aplicaciones, cada vez más utilizadas en el ámbito profesional, suponen un nuevo riesgo legal para las empresas, que pueden ser sancionadas con multas de hasta 600.000 € en caso de vulnerar la normativa de protección de datos.
Los smartphones ya son el tipo de teléfono más usado (8 de cada 10) y se emplean para mejorar el servicio al cliente. De hecho, un claro síntoma de la rápida incorporación de las tecnologías en el entorno laboral es que un 73% de las empresas ya utiliza telefonía móvil de banda ancha (3G), según el estudio La Sociedad de la Información 2013, a cargo de la Fundación Telefónica.
Sin embargo, la mensajería instantánea tiene una contrapartida: "Episodios recientes demuestran como el uso de una app puede llegar a comprometer la seguridad de la información", afirma Natalia Esteban-Zazo, abogada de DAS Internacional. En estos últimos meses Whatsapp vio como un malware cambiaba los nombres de los contactos de los teléfonos, Skype permitió que se visualizaran las IPs de todos los contactos y el caso más reciente ha sido con Telegram, que dañó la sincronización de contactos, lo que resultó en una brecha en la seguridad de los usuarios.
Muchas apps declaran abiertamente la apropiación de la información de sus usuarios como consecuencia del uso de sus servicios y Whatsapp, con casi 450 millones de usuarios únicos, es un caso paradigmático. Cuando alguien instala esta aplicación en su dispositivo, la plataforma accede a todos los teléfonos de contacto, con independencia de que sean usuarios de esta aplicación o no, y el consentimiento que el usuario da al uso de sus datos es generalizado. Por otro lado, en sus términos de uso explicita que no puede garantizar la seguridad de la información que se transmite a través de su app, por lo que el usuario asume completamente el riesgo en todas las comunicaciones.
Nuevo frente para las empresas
Para Natalia Esteban-Zazo, abogada de DAS, "el uso de las plataformas de mensajería instantánea representa un nuevo frente para las empresas, que son las responsables jurídicas de los datos personales que custodian de sus clientes y, como tales, están sujetas a la Ley Orgánica de Protección de Datos, que contempla como dato personal cualquier información que identifica o hace identificable a una persona física". Ello incluye la foto de perfil, el estado y la fecha y hora de la última conexión de cualquier usuario. Por otro lado, la citada Ley exige que, previamente al tratamiento de datos, se recabe el consentimiento de los afectados.
El incumplimiento de las obligaciones establecidas en dicha regulación puede acarrear la imposición de multas de entre 900 y 600.000 euros, unas sanciones que son objetivas, pero que sí tienen en consideración, entre otros, el volumen de negocio de la empresa que haya vulnerado la normativa de protección de datos vigente.
A mediados de año se prevé la aprobación, asimismo, de un Reglamento europeo que eleva la cuantía máxima de las sanciones hasta cien millones de euros y contempla nuevas obligaciones como el deber de comunicar a las agencias nacionales de protección de datos, en un plazo de 72 horas, las brechas de seguridad detectadas.
El veloz avance de las nuevas tecnologías y los numerosos cambios regulatorios que provoca pueden suponer que las compañías vulneren las obligaciones de protección de datos sin ser conscientes de ello, por lo que resulta aconsejable tomar algunas precauciones legales, como las que propone DAS a empresarios que utilicen mensajería instantánea en el desarrollo de su negocio: (Whatsapp, BlackBerry Messenger, Line, Skype, Viber, Telegram, etc.):
• Obtener el consentimiento previo e informado del cliente para el uso de estas plataformas, incluyendo en los contratos una cláusula en la que ambas partes autoricen su utilización como canales de comunicación.
• Restringir su uso a comunicaciones puntuales, por ejemplo, fijando citas sin informar de datos sensibles (como el número de cuenta bancaria o situaciones que requieran confidencialidad como las cuestiones de salud) ni usar con los clientes funcionalidades como los grupos de conversación o chats.
• Crear protocolos de seguridad para salvaguardar la información de los clientes y prever situaciones críticas, como el robo de dispositivos. Siguiendo la guía publicada por el Instituto Nacional de Tecnologías de la Comunicación, la compañía debe establecer una política de seguridad que describa el protocolo de actuación para gestionar los riesgos y asigne responsables de seguridad. También debería asegurarse de que la plantilla aplica las normas internas respecto al uso de los equipos y dispositivos móviles de empresa. Asimismo, debería revisar periódicamente los programas y aplicaciones utilizadas en sus equipos y dispositivos móviles, y protegerlos con paquetes de seguridad (antivirus y antispyware) y sistemas de autenticación y borrado remoto en caso de sustracción.