En su Sesión de hoy de la Comisión de Asuntos Institucionales del Parlament de Catalunya, ha adoptado la Propuesta de Resolución presentada por el Grupo Parlamentario de Ciudadanos, destinada a regular el uso de WhatsApp en las Administraciones Públicas. Un uso que se ha venido adoptando sin informes que analizaran su viabilidad desde el punto de vista de la protección de datos, entre otros.

Como bien indica la Propuesta,

En particular, la Autoridad Catalana de Protección de Datos desaconsejó el uso de WhatsApp en las relaciones abogado-cliente mediante. En la misma dirección la Autoridad de Protección de Datos de Schleswig Holstein (Alemania) señaló que WhatsApp era una forma insegura de comunicarse y tenía severos problemas de seguridad y privacidad. Igualmente, la Autoridad de Protección de Datos de Holanda consideró que WhatsApp no cumplía con garantías suficientes para comunicar información sensible.

La cuestión estriba ahora en analizar si el texto de la proposición es adecuado para conseguir los objetivos indicados en su exposición de motivos.

Limitar su uso solo en determinados casos

El primer punto de la proposición habla sobre la limitación del uso de WhatsApp como medio de comunicación, pero con un tenor literal referido exclusivamente a unos determinados supuestos

1. Utilizar otros medios de comunicación que no sea Whatsapp cuando se traten datos sensibles o confidenciales, y que ofrezcan unas mínimas garantías de seguridad y privacidad.

El problema que surge ante esta redacción es que, pese a que efectivamente se trata de un riesgo real y que debe evitarse, da a entender que existirán una serie de casos en los que no corresponde instar a utilizar una herramienta diferente a WhatsApp.

Todo proviene, en cierta forma, por el contenido del Dictamen CNS-24/2013 de la Autoridad Catalana de Protección de Datos, referente al uso de WhatsApp por parte de abogados

Teniendo en cuenta esto, junto con varias vulnerabilidades detectadas, y dado que en el contexto de la relación entre abogado y clientes puede ser habitual la comunicación y tratamiento de datos sensibles (artículo 7 LOPD), la utilización de las aplicaciones de Whatsapp y Spotbros no resulta recomendable, en relación con la seguridad exigida por la LOPD y el RLOPD.

A mi parecer, el texto por el que se ha optado (aunque positivo) no es el más adecuado por lo siguiente

  • Resulta innegable que una Administración trabaja habitualmente con datos sensibles, y este hecho debe ser tenido en cuenta
  • Se trata de una situación que, una vez establecido el canal de comunicación por el ente público correspondiente, escapa a su control. Un ciudadano puede facilitar datos sensibles a través de un canal no adecuado, aunque la Administración lo haya habilitado exclusivamente para tratar (por ejemplo) información de tipo general.
  • La posibilidad de que sea habitual tratar con datos sensibles debe traer como consecuencia que no resulte recomendable su uso, no que debamos limitar su uso en aquellos casos en que se trabaje con datos de esa naturaleza. Esta interpretación es más adecuada cuando pensamos además en el resto de riesgos para la privacidad y un tratamiento de datos adecuado cuando trabajamos con WhatsApp.

Por lo tanto, en mi opinión su uso debería quedar totalmente limitado cuando se trata de una Administración Pública, no buscar un encaje para poder utilizarlo como canal de atención al ciudadano en determinados supuestos.

El criterio económico

El segundo punto de la Propuesta se refiere al aspecto económico a la hora de optar entre diversas herramientas de mensajería

2. Utilizar en todo momento los medios y servicios de comunicación que sean económicamente más asequibles en atención a su nivel de seguridad y privacidad.

Este aspecto, que debería ser analizado en el momento de realizar un contrato con el servicio de mensajería instantánea de que se trate, es similar al que contempla el Art. 1 del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público

mediante la exigencia de la definición previa de las necesidades a satisfacer, la salvaguarda de la libre competencia y la selección de la oferta económicamente más ventajosa.

El Art. 150 de este Real Decreto habla de este requisito, que va más allá del criterio estrictamente económico

Para la valoración de las proposiciones y la determinación de la oferta económicamente más ventajosa deberá atenderse a criterios directamente vinculados al objeto del contrato, tales como la calidad, el precio, la fórmula utilizable para revisar las retribuciones ligadas a la utilización de la obra o a la prestación del servicio, el plazo de ejecución o entrega de la prestación, el coste de utilización, las características medioambientales o vinculadas con la satisfacción de exigencias sociales que respondan a necesidades, definidas en las especificaciones del contrato, propias de las categorías de población especialmente desfavorecidas a las que pertenezcan los usuarios o beneficiarios de las prestaciones a contratar, la rentabilidad, el valor técnico, las características estéticas o funcionales, la disponibilidad y coste de los repuestos, el mantenimiento, la asistencia técnica, el servicio postventa u otros semejantes.

Por lo tanto, el contenido de este apartado, no supone más que una introducción de principios básicos ya existentes en la contratación del sector público, instando a la Generalitat a que los tenga en cuenta más allá del mero aspecto económico. Esto resulta especialmente relevante cuando muchas de estas herramientas que ya se utilizan son de uso gratuito para el usuario (sin perjuicio del pago indirecto que se realice con los datos de uso).

Exigir obligaciones ya existentes

El tercer punto resulta especialmente llamativo

3. Asegurarse que los prestadores de servicios de comunicación asumirán y cumplirán con sus deberes de colaboración en caso de ser requeridos por órganos de la Administración y la Justicia.

Por lo tanto, en realidad quiere establecerse como requisito que estos prestadores cumplan con la Ley. De hecho, muchas veces los obstáculos con los que se encuentran los Cuerpos de Defensa y Seguridad, o los órganos de la Administración de Justicia, provienen de que estos prestadores no quedan sujetos a la normativa española ni a la europea.

Esta circunstancia ya supone la aparición de riesgos potenciales desde el punto de vista de la protección de datos que deberían impedir la contratación del servicio para Administraciones Públicas, pero es cierto que también crea un obstáculo importante para el trabajo de estos organismos.

El problema es que, en realidad y si aplicamos estrictamente la normativa ya existente, los prestadores de servicios que no se encuentran obligados a colaborar con la Administración de Justicia quedarían fuera de los sujetos con los que las Administraciones pueden contratar, con lo que no resultaría necesario hacer esta apreciación. Dicho lo anterior, una mención expresa en la propuesta, aunque a la vista de lo anterior pueda parecer innecesaria, no hace sino reforzar una obligación ya existente.

Las garantías de seguridad y privacidad

El punto 4 es para mí uno de los principales de esta propuesta, y que resulta especialmente interesante por los requisitos que establece a la hora de utilizar sistemas de mensajería exprés

4. Elaborar un protocolo de comunicación segura que sea tenido en cuenta por la administración autonómica así como por los organismos públicos dependientes de las Generalitat (AAPP, cuerpos y fuerzas de seguridad, jueces, etc.) para que se utilicen sistemas de mensajería exprés que ofrezcan unas mínimas garantías de seguridad y privacidad. A tal fin, dichos sistemas de mensajería deberían:

– Tener una política de privacidad conforme a la legislación vigente en materia de protección de datos

– Ubicar sus servidores en el territorio de la Unión Europea

– Cumplir ciertos estándares de seguridad de sus datacenters (como ISO 27001)

– Permitir comunicación efímera zeroKnowledge

Abogar por la transparencia incorporando información sobre los accesos por parte de los cuerpos policiales y contratos de encargo del tratamiento con los diferentes prestadores.

Este apartado resulta importante porque afectaría de manera directa los sistemas de mensajería que actualmente utiliza la Generalitat, impidiendo el uso del canal de Telegram con que cuenta actualmente.

gencat

Y es que muchas Administraciones que han visto riesgos en WhatsApp han optado por abrir canales en Telegram por su mayor seguridad o porque es código abierto. El problema es que, a mi juicio, Telegram es una opción igual de mala o incluso peor que WhatsApp a la hora de ser utilizado por Administraciones Públicas

  • No cuenta con Términos y Condiciones, sino con una serie de Preguntas Frecuentes, sin apenas contenido legal
  • Se desconoce cómo trata los datos, su infraestructura o sus medidas de seguridad reales
  • Únicamente es código abierto una parte de la herramienta, el cliente

Aunque afirman que liberarán también el código correspondiente al servidor, que es una parte esencial del teórico funcionamiento seguro de la aplicación, por el momento su código aún no está disponible. Por lo tanto, todo se basa en la confianza en que sus características (que además no están incluídas en ningún texto legal de la aplicación como hemos mencionado, sino que se conocen por textos más propios de márketing de la app) son las que conocemos.

Q: Why not open source everything?

All code will be released eventually. We started with the most useful parts — a well-documented API that allows developers to build new Telegram apps, and open source clients that can be verified by security specialists.

Por lo tanto, es muy posible que un informe en profundidad sobre la adecuación de Telegram a la normativa de protección de datos revelara que las Administraciones no deberían utilizar esta herramienta. Además, habría que ver en virtud de qué tipo de actos administrativos se ha abierto una cuenta en una aplicación sobre la que no conocemos nada en realidad sobre cómo nos presta el servicio, o dónde se encuentra realmente su infraestructura.

Adaptarnos al Reglamento

El último apartado, el apartado 5, hace referencia al Reglamento de Protección de Datos

5. Incorporar algunas de las nuevas medidas europeas de protección de datos, tal y como se contemplan en el recientemente aprobado Reglamento UE 2016/679 a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos

Este apartado puede parecer no tan interesante como el anterior, dado que únicamente se trataría de adelantar una adaptación a una norma directamente aplicable antes de su plena entrada en vigor, pero si se trata de implementar mejoras en cómo se protegen datos siempre es positivo contar con estas medidas lo antes posible.

Conclusiones

Aunque el aspecto principal de la propuesta versa sobre WhatsApp, por tratarse de una herramienta muy extendida, está claro que sus efectos van mucho más allá de esta herramienta concreta. Aunque determinadas partes del texto no eran realmente necesarias, el apartado 4 introduce una serie de características a tener en cuenta que deberían ser adoptadas no solo por la Generalitat, sino por el resto de Administraciones. De hecho, algunos de sus aspectos ya deberían ser obligatorios para poder contratar una cuenta en dichos servicios, aunque posiblemente haya resultado posible porque las cuentas se hayan abierto sin contar con ningún informe jurídico previo.

Ahora falta continuar con lo que indica el texto, y concienciar a los responsables de las Administraciones de que existen una serie de requisitos a la hora de utilizar herramientas de mensajería instantánea. No basta con que la herramienta sea cómoda (como WhatsApp), o que sea la alternativa abierta (como Telegram). Hay que analizar en profundidad si se trata de una herramienta adecuada para su uso por parte de Administraciones Públicas.

Síguenos

Sergio Carrasco Mayans

Consultor at Fase Consulting
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información, Derecho Civil y Derecho Público.
Sergio Carrasco Mayans
Síguenos

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.