En el año 2021, WhatsApp anunció un cambio en su política de Condiciones y privacidad. Así, la compañía modificó sus términos y condiciones, que debían ser aceptados por los usuarios «sí o sí», y aquellos que no aceptasen los nuevos términos no podrían seguir usando la aplicación de mensajería a partir del 8 de febrero de 2021 (fecha tope de entrada en vigor de los nuevos términos). Con estos cambios se posibilitaba compartir los datos entre WhatsApp y Facebook.
Todo ello generó mucha preocupación entre los usuarios de WhatsApp, y fue tal el revuelo montado que la aplicación tuvo que aplazar la entrada en vigor de dichos cambios de la fecha inicial prevista (el 8 de febrero de 2021) hasta el 15 de mayo de 2021, dando a los usuarios la oportunidad de ir adaptándose paulatinamente a los cambios de privacidad, siendo esta la fecha tope (Raya, 2021; RTVE, 2021).
Pero, ¿qué sucede en realidad? ¿De dónde viene todo este revuelo? ¿Qué pasará con nuestros datos?
Comienzo de la cuestión (2014)
En toda esta cuestión debemos remontarnos al año 2014. Ese año, la compañía estadounidense Facebook, Inc. (propietaria de la red social homónima, entre otros), compró la compañía WhatsApp Inc. (desarrolladora, propietaria y prestadora de la aplicación WhatsApp), con lo que tanto la red social Facebook como la aplicación de mensajería instantánea WhatsApp quedaron bajo el control de Facebook, Inc. De este modo, WhatsApp pasó a ser una filial de Facebook, Inc., al igual que ya lo eran Instagram o Messenger. Ahí comenzó todo.
En relación con esto, y alejándonos un poco del tema, en el año 2020 Estados Unidos acusó a Facebook, Inc. de monopolio y le exigió vender sus filiales WhatsApp e Instagram, por vulnerar la libre competencia y abusar de la posición de dominio.
Como hemos mencionado, desde el año 2014, Facebook, Inc. controlaba Facebook y WhatsApp y, por ende, todos los usuarios de ambas aplicaciones. Tal que así, siete años después, en el año 2021, WhatsApp hizo el anuncio que todos conocemos.
¿Qué datos tiene WhatsApp? ¿Cómo funciona WhatsApp?
En primer lugar, debemos tener en cuenta que WhatsApp es una aplicación de mensajería instantánea, por lo que la primera categoría de datos que tendrá serán los «metadatos» de los mensajes enviados: cuándo se envió cada mensaje, desde qué teléfono, a qué teléfono, etc.
En segundo lugar, debemos analizar cómo funciona WhatsApp. La aplicación de mensajería funciona de la siguiente manera (Sánchez, 2014): cuando un usuario (emisor) escribe un texto y lo envía (o envía una imagen, un documento, etc.), ese texto se envía a los servidores de la compañía de WhatsApp, donde se procesa y se reenvía directamente al otro usuario (receptor-destinatario), enviando una señal informática para que el servidor lo elimine. Así, cuando A pulsa «enviar» para mandarle un mensaje a B, esa acción lo que hace es conectar con el servidor y envía un código que es leído por el programa informático y envía, al mismo tiempo, un código de vuelta para la llamada «retención simple», de tal manera que el usuario emisor ve el mensaje en su interfaz. Si el usuario B está conectado, el servidor ejecuta un árbol de decisiones de forma automática hasta producir la inserción del mensaje en el cliente B.
En términos generales, lo importante es que el mensaje enviado se envía a los servidores de WhatsApp y después se reenvía al destinatario, pero eso sí: quedando registro del envío en los servidores (lo que antes hemos denominado «metadatos»).
En cuanto a la información que contiene WhatsApp (y compartirá con Facebook), según explican ellos mismos, es la siguiente (WhatsApp, 2021):
· Información de registro de nuestra cuenta (nuestro número de teléfono o dirección IP)
· Agenda de contactos y todos los datos que hay dentro
· Nombre de los perfiles
· Fotos de los perfiles
· Datos de operaciones (por ejemplo, si usas Facebook Pay o tiendas en WhatsApp)
· Información relacionada con el servicio
· Información sobre cómo interactúas con las empresas
· Información sobre tu dispositivo móvil y la dirección IP
· Otros datos
· Y también la información que WhatsApp obtenga con nuestro consentimiento o mediante previo aviso
En ningún caso se compartirán las conversaciones personales (tienen cifrado de extremo a extremo); por lo que ni WhatsApp ni Facebook pueden ver esos mensajes privados.
Por otro lado, debemos tener en cuenta otros datos que nosotros mismos le damos a WhatsApp: por ejemplo, WhatsApp conocerá y tendrá nuestra ubicación “cuando decidimos activar este servicio para compartir dónde nos encontramos o ver ubicaciones cercanas de otros contactos” (Melguizo y Rodríguez, 2021).
¿Qué sucede en la Unión Europea? ¿Es compatible con la normativa?
Estos cambios anunciados por WhatsApp, sin embargo, no afectan a todos los usuarios del mundo: la Unión Europea queda fuera de los cambios. Ello se debe a la regulación europea en materia de protección de datos: el Reglamento General de Protección de Datos (RGPD) aprobado en 2016 (aplicable desde 2018).
La propia WhatsApp declaró que «no hay cambios en las prácticas de intercambio de datos de WhatsApp en la región europea (incluido el Reino Unido) que surjan de los Términos de servicio y la Política de privacidad actualizados. Para evitar cualquier duda, sigue siendo cierto que WhatsApp no comparte datos de usuario de la región europea con Facebook con el fin de que esta utilice dicha información para mejorar sus productos o anuncios».
En Europa, los servicios de WhatsApp los presta WhatsApp Ireland Ltd., filial de WhatsApp, y será esta filial irlandesa la que no incluirá esos cambios para todos sus usuarios europeos.
Desde el punto de vista del RGPD, WhatsApp no puede usar nuestros datos para una finalidad distinta a la inicialmente indicada (comunicación entre usuarios), y menos hacerlo sin nuestro consentimiento, ni tampoco hacer una transferencia de datos con otra empresa (Facebook).
En el caso de que WhatsApp quisiera realizar esos cambios con nuestro consentimiento, el RGPD exige que ese consentimiento que demos (al que denomina «consentimiento del interesado») sea una «manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta» (art. 4.11 del RGPD). Esa manifestación de voluntad, por tanto, deberá ser siempre libre.
El Grupo de Trabajo del Artículo 29 (GT29) —en la actualidad, Comité Europeo de Protección de Datos (CEPD)— declaró que si el sujeto no es realmente libre para elegir, si se siente obligado a dar su consentimiento o siente que sufrirá consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse válido (Dictamen 15/2011, sobre la definición del consentimiento (WP 187), p. 12; y, también, Directrices 5/2020, sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, pág. 7 y ss.).
En este caso, WhatsApp, al plantear sus cambios en los términos y condiciones, fue tajante: o se aceptan los términos o no se podrá usar su servicio de mensajería. Así, esa consecuencia negativa forzaría nuestro consentimiento, haciendo que este no sea libre (sería un consentimiento viciado): no sería una manifestación libre de voluntad, ya que la alternativa es privar al usuario del servicio. No hay voluntad real del usuario de aceptar la nueva política de privacidad, vulnerándose, así, el RGPD (art. 4.11).
No obstante, podría hacerse por otras vías, como es la vía de las transferencias de datos personales y, en este caso, como Facebook, Inc., podría entrar en la categoría de «grupo empresarial», teniendo en cuenta que es grupo constituido por una empresa que ejerce el control y sus empresas controladas (art. 4.19 del RGPD), podría realizar estas transferencias por vía de las «normas corporativas vinculantes» (ex art. 47 del RGPD). Sin embargo, una de las exigencias de las normas corporativas vinculantes es la siguiente (art. 47.2, letra d), del RGPD): «la aplicación de los principios generales en materia de protección de datos, en particular la limitación de la finalidad, la minimización de los datos, los periodos de conservación limitados, la calidad de los datos, la protección de los datos desde el diseño y por defecto, la base del tratamiento, el tratamiento de categorías especiales de datos personales, las medidas encaminadas a garantizar la seguridad de los datos y los requisitos con respecto a las transferencias ulteriores a organismos no vinculados por las normas corporativas vinculantes». Por tanto, sería difícil justificar que el hecho de querer compartir datos de usuarios entre WhatsApp y Facebook cumple requisitos tan importantes como la limitación de la finalidad, la minimización de los datos, etc.
Todo esto no es una cuestión nueva: después de que, como hemos mencionado, Facebook, Inc. comprase WhatsApp en 2014, dos años después, en el año 2016, la compañía ya cambió los términos y condiciones para comunicar datos personales de los usuarios de WhatsApp a Facebook, datos que no tenían relación con las finalidades determinadas en la recogida de datos original (y sin dar opción a los usuarios de que se pudieran negar).
Por aquel entonces estaba en vigor la LOPD de 1999 (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal), anterior a las normas actuales y, tal y como recogía la LOPD, la comunicación de datos personales solo podía realizarse con el previo consentimiento del interesado (art. 11.1 de la LOPD).
Por ese caso, la Agencia Española de Protección de Datos (AEPD) impuso una sanción de 300.000 euros a cada entidad (WhatsApp y Facebook); la cuantía máxima correspondiente a las infracciones graves (Resolución n.º R/00259/2018. Procedimiento Nº PS/00219/2017).
La resolución de la AEPD incidía, además, en la falta de consentimiento, en que el consentimiento no sería libre, al estar condicionado por un hecho negativo (privación del servicio). Así lo manifestó la AEPD:
«En este caso, exigir la prestación del consentimiento para la cesión de datos personales que contempla la Política de Privacidad, con las finalidades que se expresarán a continuación, como requisito para poder hacer uso de la aplicación de mensajería “WhatsApp”, considerando su implantación social, puede entenderse, en los términos del Grupo del Artículo 29, como “algo que ejerce una influencia real en la libertad de elección del interesado”» (p. 61/79)
Por ello, la AEPD concluyó que «en consecuencia, el consentimiento que se presta con la aceptación de la Política de Privacidad y Términos de Servicio no puede considerarse libre, y ello impide que el consentimiento prestado pueda considerarse válido» (p. 61/79).
Eso es el mismo problema que se nos ha planteado esta vez (respecto al consentimiento libre del usuario); por ello, WhatsApp no ha incluido «región europea» en los nuevos cambios en sus términos y condiciones, ya que vulneraría el RGPD.
Conclusión
Como vemos, el RGPD es el paraguas que ha protegido a los usuarios europeos frente a los nuevos cambios en la política de privacidad de WhatsApp. Ha resultado una norma capaz de detener a una de las Big Tech como es Facebook, Inc., haciendo que los ciudadanos europeos no vean reducida su ya mermada privacidad.
Por otro lado, es cierto que puede que Facebook, Inc. tenga que acabar vendiendo alguna de sus filiales, tal como le exige EEUU por acercarse demasiado a prácticas monopolísticas (si esa exigencia de venta afectaría o no a la libertad de empresa es cuestión distinta), por lo que ello también afectará a los datos de los usuarios.
Lo que queda claro, en términos generales, es la protección jurídica y la efectividad de una norma que echó a andar hace apenas tres años (efectiva desde el año 2018), y que ha podido contener a un peso pesado de la tecnología. ¿Qué hubiera pasado sin el RGPD?
Andoni Polo Roca
Abogado. Ilustre Colegio de la Abogacía de Bizkaia
Bibliografía
AEPD (2018). Resolución n.º R/00259/2018. Procedimiento Nº PS/00219/2017. Accesible en este enlace.
GT29. Dictamen 15/2011, sobre la definición del consentimiento (WP 187).
CEPD. Directrices 5/2020, sobre el consentimiento en el sentido del Reglamento (UE) 2016/679.
Melguizo, Javier, y Rodríguez, Rubén (2021). «WhatsApp retrasa sus nuevas reglas de uso por la avalancha de quejas. ¿Ahora qué?», El Confidencial. Accesible en este enlace.
Raya, Adrián (2021). «WhatsApp se arrepiente: retrasa las nuevas condiciones con Facebook tras la polémica», El Español. Accesible en este enlace.
RTVE (2021). «WhatsApp retrasa los cambios en su política de privacidad ante la ‘huida’ de sus usuarios», RTVE. Accesible en este enlace.
Sánchez, José M. (2014). «¿Cómo funciona WhatsApp?», ABC. Accesible en este enlace.
WhatsApp (2021). «¿Qué información comparte WhatsApp con las empresas de Facebook?», WhatsApp. Accesible en este enlace.