Por lo cual, todo lo que habéis dicho en la oscuridad se oirá a la luz, y lo que habéis susurrado en las alcobas, será proclamado desde las azoteas (Lucas 12:3).
I. Introducción
La última actualización de la política de privacidad del sistema de mensajería WhatsApp ha causado un gran revuelo a nivel mundial, pues desde mayo de 2021 los usuarios que deseen continuar utilizando dicha aplicación deberán consentir que información de carácter personal sensible se comparta entre WhatsApp y Facebook, dos compañías íntimamente relacionadas entre sí (la primera fue adquirida por Facebook en 2014) pero con personalidad jurídica propia.
Entre esta información sensible que compartirán WhatsApp y Facebook se comprenden datos sobre el terminal del usuario, su dirección de IP, ubicación, compañía de telefonía, horario y tiempo de uso, número de teléfono, cualquier transacción financiera o pago realizado a través de WhatsApp, así como las actualizaciones de estado, entre otra información.
Dicha cesión de información surtirá efectos entre quienes reciben el servicio de WhatsApp LLC, pero no para quienes lo hagan de WhatsApp Ireland Limited —los residentes en un Estado miembro de la Unión Europea—, en cuyo caso ambas compañías no podrán compartir información de carácter personal de sus respectivos usuarios, manteniéndose relativamente «estancas» entre sí.
La coexistencia de dos entidades (WhatsApp LLC y WhatsApp Ireland Limited) trae causa, principalmente, del diferente tratamiento que los datos personales merecen en el territorio de un Estado miembro de la Unión Europea y en el del resto de los Estados, especialmente tras la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD). Dicha norma, en relación con la Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas) definen unos estándares muy exigentes en cuanto al tratamiento de los datos de los ciudadanos residentes en los Estados miembros de la Unión Europea y la necesidad de recabar su consentimiento para su recopilación, almacenamiento y tratamiento.
WhatsApp LLC es una compañía estadounidense con sede en Menlo Park, California, que presta sus servicios a nivel mundial desde dicha sede y que, por lo tanto, se rige, esencialmente, por las normas de los Estados Unidos de América. En materia de tratamiento de datos de carácter personal no existe una normativa equiparable al RGPD, sino que se encomienda a la Comisión Federal del Comercio la persecución de todos aquellos métodos de competencia desleal y/o prácticas desleales o engañosas en el comercio o que puedan afectar al mismo (1) conforme a la Federal Trade Commission Act.
Existen acuerdos y recomendaciones internacionales relacionadas con la protección de la privacidad de las personas, como el artículo 27 de la Declaración Universal de los Derechos Humanos, el cual puede ser interpretado como la base legal que ampara el derecho de las personas a utilizar plenamente la tecnología de la información sin interferencias arbitrarias en la privacidad; pues el disfrute y la utilización de la tecnología deben ser considerado un derecho humano (TASSANAKUNLAPAN, 2017, pp. 92-93).
En el mismo sentido, el Pacto Internacional de los Derechos Civiles y Políticos de 1966 señala en su artículo 17.1 que: «Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación», debiendo los Estados firmantes garantizar la protección legal de tal derecho.
Naciones Unidas ahondó en la defensa de la privacidad con la resolución denominada: «Guidelines for the Regulation of Computerized Personal Data Files» (2) , recomendando a los Estados implementar medidas legales para una adecuada regulación de una materia tan sensible; y otro tanto ocurre con el Acuerdo General sobre el Comercio de Servicios de la Organización Mundial del Comercio, cuyo artículo XIV (C) (ii) (3) .
Para coordinar las legislaciones europea y estadounidense se han celebrado diversos acuerdos internacionales, destacando el «Safe Harbor Decision» y el «Privacy Shield», en virtud de los cuales las empresas de uno y otro lado del Atlántico debían ajustarse —en cuanto al tratamiento de datos personales— a la Directiva 94/46/CEE de Protección de Datos Personales. El primero de los acuerdos fue declarado inválido por el Tribunal de Justicia de la Unión Europea (Gran Sala) en el Asunto C-362/14 (sentencia de 06/10/2015) (4) , por entender que el referido acuerdo permite la interferencia de las autoridades estadounidenses en derechos fundamentales de las personas cuyos datos personales son o podrían ser transferidos de la Unión Europea a los Estados Unidos y por carecer de este país de medidas legales efectivas para conseguir la reparación judicial de tales injerencias (WEISS y ARCHICK, 2016, p.7).
Por su parte, el «Privacy Shield» contiene una regulación más detallada sobre la transferencia de datos personales entre Estados Unidos y la Unión Europea, sustentándose en siete principios fundamentales: aviso, elección, responsabilidad por la transferencia, seguridad, integridad de datos y limitación de propósito, acceso y recurso, ejecución y responsabilidad. El Escudo de privacidad también incluye un conjunto complementario de principios que incluyen disposiciones sobre datos sensibles, responsabilidad secundaria, el papel de los datos autoridades de protección, datos de recursos humanos, productos farmacéuticos y médicos, y datos disponibles (WEISS y ARCHICK, 2016, p.9). Este segundo acuerdo fue declarado inválido por la Gran Sala del Tribunal de Justicia de la Unión Europea en la Sentencia de 16/07/2020 en el Asunto C-311/18 (5) , al entender que el artículo 2.1 y 2.2 del RGPD ampara la «(…) transferencia de datos personales realizada con fines comerciales por un operador económico establecido en un Estado miembro a otro operador económico establecido en un país tercero, a pesar de que, en el transcurso de esa transferencia o tras ella, esos datos puedan ser tratados por las autoridades del país tercero en cuestión con fines de seguridad nacional, defensa y seguridad del Estado»; que en al artículo 46.1 y 2 c) del RGPD garantiza que: «(…) los derechos de las personas cuyos datos personales se transfieren a un país tercero sobre la base de cláusulas tipo de protección de datos gozan de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión Europea por el referido Reglamento», incluido el acceso a tales datos por las autoridades del país tercero y que el artículo 58.2 f) y j) del RGPD justifica que, salvo:
«(…) decisión de adecuación válidamente adoptada por la Comisión Europea, la autoridad de control competente está obligada a suspender o prohibir una transferencia de datos a un país tercero basada en cláusulas tipo de protección de datos adoptadas por la Comisión, cuando esa autoridad de control considera, a la luz de todas las circunstancias específicas de la referida transferencia, que dichas cláusulas no se respetan o no pueden respetarse en ese país tercero y que la protección de los datos transferidos exigida por el Derecho de la Unión, en particular, por los artículos 45 y 46 del mencionado Reglamento y por la Carta de los Derechos Fundamentales, no puede garantizarse mediante otros medios, si el responsable o el encargado del tratamiento establecidos en la Unión no han suspendido la transferencia o puesto fin a esta por sí mismos».
La Organización para la Cooperación y el Desarrollo Económico (OCDE) ha desarrollado por su parte las «Directrices sobre la protección de la privacidad y los flujos transfronterizos de datos personales» centrándose en la implementación de políticas de protección de la privacidad basadas en la gestión de riesgos y en la necesidad de abordar con una perspectiva global el flujo de datos personales entre los Estados integrantes de la organización, entre los que se encuentran Estados Unidos y la Unión Europea.
II. El tratamiento de los datos personales en los EEUU
La regulación de la recopilación, almacenamiento, uso y divulgación de los datos de carácter personal es una competencia de los Estados que conforman los Estados Unidos de América, una atribución competencial que se extrae el artículo 1, Sección Novena de su Constitución y de la X enmienda a la misma.
No obstante, existen normas federales que afectan a todo el territorio de Estados Unidos en materia de protección de datos, decisiones que en distintos ámbitos —relacionados esencialmente con el comercio— se desarrollan bajo la supervisión de a Comisión Federal del Comercio. Estas normas emanan de la IV enmienda (6) , en virtud de la cual se reconoce:
El derecho de los habitantes de que sus personas, domicilios, papeles y efectos se hallen a salvo de pesquisas y aprehensiones arbitrarias, será inviolable, y no se expedirán al efecto mandamientos que no se apoyen en un motivo verosímil, estén corroborados mediante juramento o protesta y describan con particularidad el lugar que deba ser registrado y las personas o cosas que han de ser detenidas o embargadas.
El origen doctrinal del derecho en Estados Unidos parte del artículo «The Right to Privacy» de WARREN & BRANDEIS (1890) (7) , donde se concibe como un «derecho frente al mundo» (p.213) un artículo que ha sido citado, como señala SALDAÑA (2012) entre otras, en las siguientes sentencias del Tribunal Supremo estadounidense: Bartnicki v. Vopper, 532 U.S. 514, 534 (2001); Doe v. Bolton, 410 U.S. 179, 213 (1973) (Douglas, J., concurring); Katz v. United States, 389 U.S. 347 (1967); Time, Inc v. Hill, 385 U. S. 374 (1967); Griswold v. Connecticut, 381 U.S. 479 (1965); o Goldman v. United States, 316 U.S. 129 (1942) (p.197).
1. Las normas federales sobre los datos personales
Con un carácter abierto, el tratamiento de los datos personales de los consumidores sólo será investigado y, en su caso, sancionado por dicho organismo federal cuando el mismo pueda afectar al Mercado, de modo que no se regula el uso de los datos exclusivamente como un derecho de las personas, sino también como un elemento potencialmente contrario a la libre competencia. La concepción del tratamiento de los datos por parte de las autoridades federales pone el acento en la forma en que se custodian los datos personales, permitiendo que su recopilación y cesión a terceros se consienta «por defecto» al aceptar las condiciones generales del servicio; siempre que tal actuación no comporte una limitación del derecho de acceso a la Sociedad de la Información de los ciudadanos, un modo de discriminación o que de la misma se derive una ventaja competitiva para el operador que pueda terminar distorsionando las reglas del Libre Mercado.
La Privacy Act (1974) es una disposición legal que regula el tratamiento de los datos de carácter personal de los administrados por parte del Gobierno y de las instituciones federales estadounidenses. Dicha norma reconoce a los ciudadanos el derecho de acceso, rectificación y a la prohibición de toda divulgación no consentida ni justificada de sus datos personales en manos de tales instituciones, así como a conocer qué información personal ha sido ya divulgada por éstas.
Resulta interesante la apreciación de que el concepto de «person» no se circunscribe al de «persona física», sino que se hace extensivo a cualquier consorcio, corporación, asociación u organización pública o privada distinta de una agencia pública (8) .
Las disposiciones de la Privacy Act son ejercitables por los ciudadanos de los Estados miembro de la Unión Europea ante los órganos competentes (administrativos y/o judiciales) estadounidenses en virtud de la Judicial Redress Act (2016), que procurado a los ciudadanos norteamericanos igual potestad ante los órganos jurisdiccionales y administrativos competentes en Europea gracias al EU-US Umbrella Agreement, alcanzado para la persecución de los tipos delictivos más graves en uno y otro lado del Atlántico.
Además de la Privacy Act, resulta de aplicación la Gramm-Leach Bliley Act o Ley de Modernización financiera de 1999, en la cual se impone a las entidades financieras la obligación de proporcionar a sus clientes una política de privacidad en la que se detalle qué información de carácter personal se recoge y qué tratamiento se brinda a la misma. Tal información deberá facilitarse a los consumidores en el momento del inicio de la relación jurídica o incluso con posterioridad, siempre que no transcurra un año desde el comienzo de la relación jurídica. Deberá informarse al consumidor sobre qué información personal no pública se comparte con personas o empresas relacionados y/o con terceros; qué tratamiento se da a los datos personales de quienes dejan de ser clientes y qué mecanismos de protección se implementan para evitar el robo u otro mal uso de los datos personales en poder de la entidad financiera. Tales políticas de privacidad estarán bajo la supervisión de la Oficina de Protección Financiera del Consumidor y de la Comisión Nacional de Valores de los Estados Unidos de América.
La Gramm-Leach Bliley Act exige a las entidades financieras que faciliten información a sus clientes, pero no establece los estándares mínimos que deben comprender las políticas de privacidad de tales corporaciones en una materia tan sensible como la financiera. Señala dicha norma que la política de privacidad deberá contener información sobre:
- 1. Las políticas y prácticas de la entidad sobre la divulgación a terceros de información personal no pública, detallando quien difunde o puede difundir dicha información, así como a quien/es, tanto de clientes como de antiguos clientes;
- 2. El tipo de información personal no pública que recoge y almacena la entidad financiera;
- 3. Las medidas que adoptadas para proteger la confidencialidad y la seguridad de la información personal no pública; y
- 4. Las comunicaciones imprescindibles, si las hubiera, de dicha información.
En cuanto a la recopilación, almacenamiento y tratamiento de los datos de carácter personal por parte de las agencias que realizan evaluaciones de consumidores (9) , resulta de aplicación la Fair Credit Reporting Act, una norma prevista para proteger los datos personales que se recopilan y tratan por este tipo de entidades, limitando el número de personas con acceso a la información y permitiendo a los interesados acceder y solicitar la rectificación de los datos.
La Comisión Federal del Comercio puede determinar que una actuación de este tipo de empresas, en relación con la recopilación o tratamiento de datos personales, es contraria a las normas de libre comercio, con las consecuencias a ello inherentes. Cada agencia de evaluación de consumidores deberá desarrollar procedimientos para la recepción de quejas o reclamaciones de los consumidores en relación con posibles robos de identidad o fraudes, los cuales culminarán con la remisión de un resumen anual sobre tales denuncias a la Comisión Federal del Comercio. La falta de observación de tales medidas podrá conllevar que dicho organismo tome medidas para asegurar su cumplimiento, ya sea emitiendo una guía modelo o imponiendo la adopción de las medidas o procedimientos necesarios para que la entidad encargada de elaborar informes sobre consumidores cumpla con la norma.
La protección de los menores de 13 años en Internet se lleva a cabo mediante la Children’s Online Privacy Protection Act, una norma que permite a sus progenitores o tutores, en defecto o por incapacidad de aquéllos, a controlar qué información puede recopilarse sobre sus hijos o tutelados hasta que alcancen los 13 años de edad. Los responsables de las páginas webs dirigidas a niños o que tengan acceso a datos de menores deberán implementar políticas de privacidad adecuadas y obtener el consentimiento paterno antes de recopilar tal información, posibilitando a los padres o tutores decidir qué información puede usarse y cuál no, así como evitar posteriores recopilaciones de datos personales de sus hijos o tutelados.
El apartado (8) de las definiciones (10) señala que se considerarán datos de carácter personal el nombre del menor; su dirección (entendida en un sentido amplio, pues basta con que se indique la localidad de residencia); número de teléfono o de la Seguridad Social; así como cualquier otro dato que, a juicio de la Comisión Federal del Comercio, permita el contacto físico o virtual con el menor. Tendrá la misma consideración cualquier información relativa a un menor o sus progenitores que un sitio web recoja del menor y que se ponga en relación con alguno de los datos descritos anteriormente.
En materia de datos médicos, resulta de aplicación la Health Insurance Portability and Accountability Act, una norma que persigue que el uso y la divulgación de la información médica de las personas (protected health information) por parte de las entidades relacionadas con dicho sector se ajusten a unos estándares mínimos que armonicen su protección y la necesidad de que ésta fluya para garantizar una adecuada asistencia médica y la Salud Pública.
Conforme a la meritada norma, podrá divulgarse información médica protegida —aun sin la autorización del interesado— para informar al interesado, para gestionar el tratamiento y su pago, así como para llevar a cabo actividades de interés general determinadas legalmente; cuando esté relacionada con víctimas de abusos o violencia doméstica; cuando deba revelarse por actividades relacionadas con la vigilancia de la salud; cuando así se determine en un procedimiento administrativo o judicial; cuando sea necesario para determinadas funciones relativas a personas fallecidas (como su identificación); para la donación de órganos, tejidos y/o huesos; para la investigación, en circunstancias ajustadas a derecho; para desarrollar funciones gubernamentales esenciales o para la compensación de trabajadores.
Todas las entidades incluidas en el ámbito de aplicación de la norma deberán garantizar la confidencialidad, integridad y disponibilidad de toda la información médica protegida almacenada en un formato electrónico, así como implementar sistemas que les permitan detectar y proteger tal información de amenazas externas y divulgaciones o usos no permitidos. A tal efecto, deberán certificar el cumplimiento por parte de sus empleados e imponer unos estrictos estándares éticos y profesionales.
La Fair and Accurate Credit Transactions Act limita la información que debe ofrecerse sobre los instrumentos financieros, en concreto limita a cinco los números de la tarjeta de crédito de una persona que pueden constar en un documento, en aras de proteger no sólo la confidencialidad, sino también para evitar un uso indebido de las tarjetas o su clonado.
Las citadas normas federales persiguen fundamentalmente proteger los datos personales en poder de los organismos y de las entidades norteamericanas, pero desde un enfoque distinto al que existe en el Derecho de la Unión Europea, pues mientras que en Europa se parte del derecho de los ciudadanos a decidir qué datos personales pueden ser recopilados, almacenados, tratados o divulgados por terceras personas, en los Estados Unidos se busca evitar que la información de carácter personal sea divulgada de forma inconsentida —de manera voluntaria o involuntaria— por parte del administrador de tales datos. Conforme a ello, los ciudadanos nacionales o residentes en los Estados Unidos tienen derecho a que sus datos sean tratados conforme a las condiciones concertadas con la entidad encargada de su tratamiento y a que ésta implemente sistemas de protección frente a injerencias externas y a mala praxis por parte de sus empleados, pero no existe un mecanismo legal federal que establezca unos estándares mínimos de protección ni un sistema que exija un consentimiento informado por parte del titular de los datos —salvo en lo relativo a los datos médicos—, salvo cuando el tratamiento de la información pueda poner en peligro el Libre Mercado.
La Comisión Federal del Comercio ha enviado al Congreso de los Estados Unidos varios informes (en 1998 y 2000) detallando que sería preferible un tratamiento de los datos regulado, ya que el hecho de confiar en la buena voluntad de los encargados del tratamiento de los datos lleva a que la mayoría de los sitios no sometidos a las normas federales relativas a la privacidad no informan adecuadamente a los consumidores sobre las prácticas de recogida de sus datos personales ni tampoco protegen adecuadamente la privacidad.
2. El caso de la Foreign Account Tax Compliance ACT
Existe una gran controversia en los Estados Unidos con la Foreign Account Tax Compliance Act, una norma federal que tiene por objetivo controlar la evasión fiscal mediante la identificación de los ciudadanos estadounidenses y residentes en dicho país que tengan dinero cuentas o fondos depositados en instituciones financieras extranjeras, previene que tal información. La definición de «información requerida» (Required Information) que contiene la norma (11) en su apartado (C) señala que deberá remitirse el nombre y la dirección de la institución financiera en la que se mantiene abierta una cuenta, así como el número de la misma; el nombre y la dirección del emisor y la información que sea necesaria para identificar la clase o emisión de la que es parte, cuando se opera con dicha cuenta; la información que sea necesaria para identificar dicho instrumento, contrato o interés, y los nombres y direcciones de todos los emisores y contrapartes con respecto a dicho instrumento, contrato o interés, cuando se trate de instrumentos financieros diferentes; así como el valor máximo del activo durante el año fiscal en cuestión.
Conforme a la citada norma deberá informarse igualmente al Tesoro estadounidense sobre la adquisición o creación de una entidad en el extranjero y sobre la existencia de fideicomisos que se presumen en beneficio de un ciudadano de los Estados Unidos (12) . Dicha norma es aplicable en España desde la entrada en vigor de la orden ministerial HAP/1136/2014 del 30 de junio por la que se regulan algunas cuestiones relacionadas con las obligaciones de información, diligencia y publicación debidas entre España y Estados Unidos (BOE 01/07/2014).
La polémica por la norma llegó incluso a la Corte de Apelaciones de Estados Unidos en el caso Crawford v. United States Department of Treasury, No. 16-3539 (6th Cir. 2017) (13) , si bien la misma fue desestimada por falta de legitimación del demandante. No obstante, sigue existiendo una gran polémica sobre la recopilación de datos financieros de los contribuyentes por parte del gobierno estadounidense.
3. Consumer Privacy Bill of Rights
En febrero de 2012 la Casa Blanca publicó el informe «Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy» (14) , el cual incluía el que se denominó «Consumer PrivacyBill of Rights» que reconoce a los consumidores los siguientes derechos en materia de protección de sus datos de carácter personal:
Control individual: los consumidores tienen derecho a controlar los datos personales que las empresas recopilan de ellos y cómo los utilizan.
Transparencia: los consumidores tienen derecho a información fácilmente comprensible y accesible sobre prácticas de privacidad y seguridad.
Respeto por el contexto: los consumidores tienen derecho a esperar que las empresas recopilen, utilicen y divulguen datos personales de forma coherente con el contexto en el que los consumidores proporcionan los datos.
Seguridad: los consumidores tienen derecho a un tratamiento seguro y responsable de los datos personales.
Acceso y veracidad: los consumidores tienen derecho a acceder y corregir los datos personales en formatos utilizables, de una manera que sea adecuada a la sensibilidad de los datos y al riesgo de consecuencias adversas para los consumidores si los datos son inexactos.
Recopilación proporcional: los consumidores tienen derecho a límites razonables sobre los datos personales que las empresas recopilan y conservan.
Responsabilidad: los consumidores tienen derecho a que las empresas manejen sus datos personales con las medidas adecuadas para garantizar que se adhieren a la Declaración de derechos de privacidad del consumidor.
Pese a su denominación, el «Consumer PrivacyBill of Rights» no es una ley que esté en vigor, sino un desiderátum que se pretende sea implementado de forma voluntaria por los responsables del tratamiento de datos personales de consumidores con apoyo de las principales instituciones estadounidenses, y ello pese a que durante la «Administración Trump» se ha desandado el exiguo camino avanzado durante el mandato de Barack Obama (15) .
La Ley Pública 115-22 (16) , de 3 de abril de 2017, acordó dejar sin efectos la norma presentada por la Comisión Federal de Comunicaciones denominada «Protección de la privacidad de los clientes de banda ancha y otros servicios de telecomunicaciones» de 2 de diciembre de 2016, la cual exigía que los clientes de servicios de Internet de banda ancha y otros servicios de telecomunicaciones fuesen informados por los proveedores de dichos servicios sobre los derechos que les amparan sobre el uso e intercambio de información confidencial; que se adoptasen protocolos de notificación de infracciones y seguridad de datos; prohibía que las ofertas de servicios de banda ancha estuviesen supeditadas a la renuncia a la privacidad y requería el consentimiento expreso del consumidor para llevar a cabo la comercialización de su datos personales. Con la aprobación de la citada norma, la cual no ha sido tratada de las prioridades de la Administración Biden-Harris entre las primeras executive orders (17) . Gracias a esa norma, las empresas estadounidenses como Google pueden comercializar los historiales de búsqueda de los usuarios, las aplicaciones descargadas, localización, tiempo que pasan en una página web o aplicación, horario de uso, y los dispositivos desde los que acceden; siempre que no exista prohibición expresa del titular de dichos datos. Es decir: por defecto, las compañías que manejan tales datos de carácter personal podrán comerciarlos. No obstante, el Gobierno Federal de Estados Unidos es uno de los principales clientes de datos personales, especialmente de aquellos relacionados con la localización de los usuarios (18) .
En esta línea, la Store Communications Act permite a la Administración americana, previa autorización jurisdiccional (19) , acceder a toda la información que sobre una persona exista en los servidores de empresas tecnológicas con sede en Estados Unidos, independientemente de donde se localice el servidor. La modificación en dicha norma operada a través de la que se conoce como Cloud Act (20) , tiene por objeto la lucha contra el terrorismo doméstico e internacional, si bien no tiene en consideración la normativa aplicable al titular de los datos por razón de su nacionalidad, vecindad civil o el lugar físico donde se halle su información personal.
4. Normas estatales sobre datos personales
Aunque gran parte de los Estados han creado disposiciones normativas para regular el tratamiento de los datos personales, destaca sobre todas la California Consumer Privacy Act (21) entró en vigor el uno de enero de 2020 (siendo aplicable desde el 16 de diciembre de ese mismo año), aunque hasta el uno de enero de 2023 no será aplicable la norma al completo, siendo la norma estadounidense más parecida al RGPD europeo.
Dicha norma será aplicable a profesionales y organizaciones con ánimo de lucro que hagan negocios en California (22) y entiende por «consumidor» a las personas naturales que residan en dicho Estado, excluyendo por lo tanto a las personas jurídicas y a quienes tengan su residencia en otro Estado.
Se entiende por «dato personal» cualquier información susceptible de identificar, se relaciona con, describe, es razonablemente capaz de asociarse con, o podría estar razonablemente vinculada, directa o indirectamente, con un consumidor u hogar en particular.
Siendo normas con un ámbito territorial muy definido, las empresas con domicilio social en Estados Unidos se acogen generalmente a las disposiciones que les son más favorables, especialmente cuando, como se ha visto, leyes como la Stored Communications Act permiten que las autoridades norteamericanas accedan a los datos personales de consumidores que se almacenen en su territorio, aun cuando esas personas residen en un país diferente, siempre que se obtenga una autorización judicial.
Otros Estados, como Virginia, han seguido un camino inverso al californiano, aprobando normativas de protección de datos mucho mejor vistas por las grandes empresas del sector (23) .
5. Apuntes sobre el modelo estadounidense
Un principio básico del sistema americano es el de la «legítima expectativa de privacidad» del usuario de cualquier sistema de comunicación, un principio que aparece por primera vez en el asunto United States v. Wharshak y que implica que el sistema de mensajería WhatsApp debe tener una consideración similar a la de una oficina de correos, al tratarse de un mero intermediario que hace posible la comunicación entre emisor y receptor del mensaje (24) , sin que le ampare ningún derecho a revelar el contenido de los mismos, y ello pese a que el sistema utilizado por WhatsApp garantiza el cifrado de la información entre usuarios y no se almacena en los servidores de la compañía sino durante el tiempo imprescindible para que sea recibido por el destinatario, haciéndolo además de forma encriptada para la propia entidad.
La Jurisprudencia ha señalado que la Stored Communications Act protege la privacidad de las personas, como reconocimiento por parte del Legislador al legítimo interés de los ciudadanos en que sus comunicaciones por medios electrónicos sean confidenciales (Theofel v. Farey Jones), incluso frente a un requerimiento judicial en un procedimiento penal donde entran en colisión el Derecho a la Privacidad y el Derecho a la Defensa que se reconoce a todo procesado en una causa criminal, en cuyo caso el órgano jurisdiccional deberá acordar la exhibición de la información personal que obre en poder de cualquier prestador de servicios tecnológicos —como WhatsApp o Facebook— sólo cuando sea imprescindible, debiendo casos explorar todas las opciones alternativas y posibles. Conforme a lo anterior, sólo cuando no existan alternativas y cuando, conjuntamente, concurran otras circunstancias que justifique su descubrimiento, podrá desvelarse tal información en un procedimiento penal [Facebook, Inc. v. Superior Court (2017) (25) o Facebook, Inc. v. Superior Court (2020) (26) ]
El modelo estadounidense centra más sus esfuerzos en las medidas de protección que han de tomar los legítimos tenedores de los datos personales que en garantizar a sus titulares que sólo se van a recopilar, tratar y ceder aquellos que expresamente consientan, y exclusivamente durante el tiempo y para los fines convenidos o cuanto menos consentidos. Buena prueba de que la concepción norteamericana se centra en la prevención del descubrimiento inconsentido de los datos legítimamente recopilados es el procedimiento seguido ante la Corte del Distrito Norte de California (WhatsApp Inc. et al. v. NSO Group Technologies Limited, et al. (27) ) en el que WhatsApp demanda a la compañía israelí NSO Group por haber utilizado su sistema de mensajería para difundir e instalar un spyware o software espía en los teléfonos móviles de determinadas personas a través del cual los clientes de NSO Group podían acceder a la localización, llamadas y mensajes del usuario del terminal en el que se instala, de forma no intencionada, tal programa (28) .
Cuando los tribunales estadounidenses han tenido la oportunidad de poner en relación la normativa europea y la estadounidense, como en la orden dictada por la Corte del Distrito Norte de California en el caso Finjan, Inc. v. Zscaler, Inc. el pasado 14 de febrero de 2019, en la cual —en un asunto relacionado con la propiedad intelectual entre dos entidades estadounidenses— se obligó a la demandada a aportar al procedimiento determinados correos electrónicos de un ciudadano británico —antiguo empleado de la misma— y ello pese a haber argumentado que tal revelación contraviene el RGPD, pues tal como señala el Tribunal —con base en el precedente del asunto United States v. Vetco Inc.— «The party relying on foreign law has the burden of showing that such law bars production» (quien alegue que una ley extranjera —a los Estados Unidos— impide una actuación tendrá la carga de la prueba) o lo que es lo mismo: salvo prueba en contrario, los órganos jurisdiccionales norteamericanos no actuarán compelidos por una norma extranjera. Una conclusión que justifica las decisiones adoptadas por el Tribunal de Justicia de la Unión Europea en relación con la Safe HarborDecision o el Privacy Shield.
En conclusión, como señala MONTALBANO (2019), «(…) a diferencia de lo que sucede en el contexto europeo, en los Estados Unidos, la privacidad no se considera un derecho fundamental del individuo, sino un derecho fundamental del consumidor (…)» (p.143).
III. El tratamiento de los datos personales en la Unión Europea
Dice SOBRINO GARCÍA (2019):
«(…) el derecho a la protección de datos en la UE conlleva el derecho del individuo a decidir cuándo y bajo qué circunstancias se pone a disposición su información personal, estando permitido el procesamiento de datos cuando la persona haya consentido o cuando así lo establezca la ley (…)» (p.696).
El modelo europeo parte del derecho al respeto a la intimidad y a la privacidad recogido ya en el artículo 8.1 del Convenio Europeo de Derechos Humanos de 1950 y que ha ido evolucionando hasta incorporarse a los artículos 16 del Tratado de Funcionamiento de la Unión Europea y 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, preceptos que imponen al Parlamento Europeo y al Consejo la obligación de salvaguardar el derecho de los ciudadanos a la protección de sus datos de carácter personal, en tanto derecho estrechamente relacionado, pero distinto, del derecho a la vida privada.
Antes de concluir en los citados textos legales, el Convenio del Consejo de Europa de 28 de enero de 1981 (Convenio 108) implementó medidas para la protección de los datos personales en los procesos de tratamiento automatizado de los mismos, erigiéndose como el primer instrumento internacional de carácter vinculante sobre la materia y base del actual Convenio 108+, al cual se volverá más adelante.
El culmen a la regulación de la Unión sobre el particular es el RGPD, pero no es el único instrumento aplicable en sede de protección de datos de carácter personal, pues los Estados miembro pueden desarrollar su legislación (29) —siempre que no contravengan el tenor de aquél— y continúan en vigor las siguientes Directivas:
Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos.
Dicha norma garantiza la protección de los datos de carácter personal de los ciudadanos ante cualquier autoridad, tanto de investigados como de perjudicados o testigos, procurando armonizar tales derechos con la necesaria circulación de la información para la prevención y lucha contra el terrorismo y otros delitos graves. Esta directiva comprende el tratamiento de datos de carácter personal llevado a cabo no sólo por organismos públicos, sino también por otro tipo de entidades, como las entidades financieras, a quien se exige la recogida y almacenamiento de datos para la lucha contra el blanqueo de capitales y la financiación del terrorismo. El tratamiento de tales datos, como señala el considerando (11) de la Directiva, se ajustarán al texto de la misma cuando se recopilen, almacenen, traten y cedan conforme a su ámbito de aplicación, quedando bajo el imperio del RGPD en el resto de los supuestos. Conforme al artículo 1.1 de la Directiva:
La presente Directiva establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.
La referida Directiva no se aplicará al tratamiento de datos personales por para la Unión Europea ni para actividades ajenas al Derecho de la Unión (art. 2.3) y reconoce a los ciudadanos los derechos de acceso, rectificación, cancelación y modificación siempre que con ello no se «obstaculicen indagaciones, investigaciones o procedimientos oficiales o judiciales»; «se cause perjuicio a la prevención, detección, investigación o enjuiciamiento de infracciones penales o a la ejecución de sanciones penales»; se ponga en peligro la seguridad pública, nacional o los derechos y libertades de otras personas (art. 15.1).
Conforme al artículo 35.1 de la Directiva, los datos personales comprendidos en el ámbito de aplicación de la misma podrán ser cedidos a terceros Estados u organizaciones internacionales cuando se lleve a cabo con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública; cuando se transfieran a una autoridad pública competente en la materia; cuando se haya recabado la autorización previa del Estado miembro del que se haya obtenido tal información previamente; cuando la Comisión lo considere adecuado conforme al artículo 36 o existan las garantías adecuadas y, cuando la transferencia sea un reenvío a un tercer Estado u organización internacional autorizada tras la valoración de las circunstancias del caso, la gravedad de la infracción penal, la finalidad de la transmisión inicial y el nivel de protección de tales datos personales.
Como señala SÁNCHEZ DOMINGO (2017), la Directiva pretende armonizar las disposiciones legales de los Estados miembros sobre la regulación de la colusión del derecho fundamental a la protección de datos de carácter personal y su tratamiento y puesta en común por parte de autoridades competentes dentro de una investigación criminal o para garantizar la seguridad pública y la necesidad de perseguir el crimen organizado, esencialmente el de carácter internacional, lo que en palabras de la autora exige la «(…) ponderación de los bienes jurídicos enfrentados con el objetivo de lograr el necesario equilibrio entre la protección del derecho fundamental a la protección de datos y el refuerzo de la seguridad, esto es, el mantenimiento del equilibrio entre el binomio libertad-seguridad» (p.19).
Tal concepto viene determinado en gran medida, como señala LÓPEZ AGUILAR (2017) por la jurisprudencia que sobre el mismo ha dictado el Tribunal de Justicia de la Unión Europea (en adelante: TJUE), la cual ha ayudado a perfilar un concepto que ha encontrado acomodo en la normativa actualmente aplicable a nivel europeo (p.559).
Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas
Pese a que se encuentra en trámite Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas (30) —aún en trámite ante la Comisión— la Directiva continúa definiendo el marco común al que han de adaptarse las normativas de los Estados miembros relativas a la protección del derecho a la intimidad de los ciudadanos residentes en la Unión Europea en relación con las comunicaciones electrónicas y la libre circulación de sus datos de carácter personal (art. 1.1). El ámbito de aplicación de la misma se ajusta al tratamiento de los datos de carácter personal que se recopilan, almacenan y, en su caso, ceden, «en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público en las redes públicas de comunicaciones de la Comunidad» (art. 3.1).
Corresponde a los Estados miembros dictar disposiciones normativas que salvaguarden «la confidencialidad de las comunicaciones, y de los datos de tráfico asociados a ellas, realizadas a través de las redes públicas de comunicaciones y de los servicios de comunicaciones electrónicas disponibles al público» (art. 5.1). Tal legislación deberá, en todo caso, prohibir las escuchas, grabaciones, almacenamiento o cualquier otra suerte de injerencia o vigilancia en las comunicaciones por parte de personas o entidades ajenas a los usuarios, salvo cuando medie el consentimiento libre de éstos; las mismas se desarrollen previa autorización por parte del órgano competente, o cuando se trate de una «medida necesaria proporcionada y apropiada en una sociedad democrática para proteger la seguridad nacional» y el resto de supuestos previstos en la Directiva 2016/680 (art. 15.1) (31) .
El artículo 9 de la Directiva regula la cuestión relativa a los datos de localización de los usuarios distintos de los datos del tráfico, necesarios estos últimos para la prestación del servicio, señalando que tales datos de localización sólo podrán tratarse cuando se haga de forma anónima o cuando se recabe el consentimiento previo del usuario, y sólo en la forma y durante el tiempo imprescindibles «para la prestación de un servicio con valor añadido» (art. 9.1). A tal efecto, el responsable del tratamiento deberá informar a los interesados sobre la finalidad y duración del tratamiento y sobre la posible transmisión a terceros, información de la que deberán disponer los usuarios antes de prestar su consentimiento. Estos estarán facultados en cualquier momento para manifestar su falta de consentimiento, aun después de haberlo autorizado inicialmente.
Dicha directiva será a corto-medio plazo sustituida por el Reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas, una norma aún en fase de aprobación que desarrolla uno de los objetivos de la Estrategia para el Mercado Único Digital de la Unión: mejorar la seguridad de los servicios digitales y la confianza ciudadana en éstos. La Directiva sigue siendo válida para la consecución de tales objetivos, si bien, su última reforma tuvo lugar en 2009 y el sector de las comunicaciones electrónicas ha experimentado formidables cambios desde entonces, si ir más lejos, gracias a servicios de mensajería instantánea como Whatsapp y similares. El objeto del proyecto de reglamento incide en la protección de todo aquello que, estando relacionado con la privacidad de los usuarios, exceda del RGPD, de ahí la elección de este instrumento legislativo en detrimento de una directiva, persiguiendo una mayor homogeneidad dentro de la Unión.
El considerando (2) de la propuesta de Reglamento señala:
«El contenido de las comunicaciones electrónicas puede desvelar información muy delicada sobre las personas físicas que participan en ellas, tales como experiencias personales y emociones, problemas de salud, preferencias sexuales y opiniones políticas, cuya divulgación podría causar daños personales y sociales, pérdidas económicas o situaciones embarazosas. Del mismo modo, los metadatos derivados de las comunicaciones electrónicas también pueden desvelar información muy delicada y de carácter personal. Entre esos metadatos figuran los números a los que se ha llamado, los sitios web visitados, la localización geográfica o la hora, la fecha y la duración de una llamada, información que permite extraer conclusiones precisas sobre la vida privada de las personas participantes en la comunicación electrónica tales como sus relaciones sociales, sus costumbres y actividades de la vida cotidiana, sus intereses, sus preferencias, etc.».
Resulta particularmente interesante la ampliación de la protección que hasta ahora se brindaba exclusivamente a las personas físicas a las personas jurídicas, con un objetivo distinto: evitar que información confidencial de índole económico o comercial afecte a la competencia y/o a la viabilidad de la entidad. El considerando (3) hace extensiva la protección del RGPD a las personas jurídicas, incluyendo los preceptos relativos al «consentimiento», siempre que éstas actúen como usuarios finales. En la propuesta de Reglamento se reconoce el derecho a la privacidad de las personas jurídicas, un avance que por sí mismo justificaría la aprobación de una propuesta que se aplica a los proveedores de servicios de comunicaciones electrónicas, de guías accesibles al público y/o de programas informáticos para acceder a servicios de comunicaciones electrónicas, incluidos aquellos que operan para la recuperación y presentación de información de Internet.
El artículo 1.1 de la propuesta previene:
«El presente Reglamento establece normas relativas a la protección de los derechos y las libertades fundamentales de las personas físicas y jurídicas en el ámbito de la prestación y utilización de servicios de comunicaciones electrónicas y, en particular, los derechos al respeto de la vida privada y las comunicaciones y la protección de las personas físicas en lo que respecta al tratamiento de datos personales».
La propuesta de Reglamento se aplicaría a «datos de comunicaciones electrónicas tratados en relación con la prestación y el uso de servicios de comunicaciones electrónicas en la Unión, independientemente de que el tratamiento se efectúe en la Unión o no» y a «los datos de comunicaciones electrónicas tratados en relación con la prestación de servicios de comunicaciones electrónicas desde fuera de la Unión a usuarios finales de la Unión», conforme al considerando (9) de la propuesta, es decir: se aplicaría a los usuarios de Whatsapp que sean personas físicas y jurídicas que sean usuarios de tales servicios dentro del territorio de un Estado miembro de la Unión Europea, aun cuando los servidores se hallen en Estados Unidos o en otro lugar del mundo; y ello en consonancia con lo dispuestos el Código Europeo de las Comunicaciones Electrónicas (32) .
Al efecto, señala el artículo 3.1 de la propuesta que el Reglamento sería aplicable a:
«a) a la prestación de servicios de comunicaciones electrónicas a los usuarios finales en la Unión, independientemente de si el usuario final tiene que pagar por ellos; b) a la utilización de dichos servicios; c) a la protección de la información relativa a los equipos terminales de los usuarios finales situados en la Unión».
Para que ello sea efectivo, se exige a los proveedores de servicios de comunicaciones electrónicas que no tengan sede en el territorio de ningún Estado miembro que designen a un representante en la Unión, el cual deberá estar establecido en el territorio de alguno de los Estados miembro donde se encuentren los usuarios finales de sus servicios de comunicaciones electrónicas (33) .
Las definiciones de la propuesta de reglamento hacen una remisión expresa al RGPD en su artículo 4.1, señalando que tales definiciones, conforme al considerando (14):
«deben definirse de manera lo suficientemente amplia y tecnológicamente neutra como para incluir cualquier información relativa al contenido transmitido o intercambiado (contenido de las comunicaciones electrónicas) y la información relativa al usuario final de servicios de comunicaciones electrónicas que se haya tratado con el fin de transmitir, distribuir o permitir el intercambio de contenido de comunicaciones electrónicas; incluidos los datos para rastrear e identificar el origen y el destino de una comunicación, la localización geográfica y la fecha, hora, duración y tipo de comunicación».
La norma señala que las comunicaciones electrónicas son confidenciales (art. 5) y como tales deben ser tratadas por quienes prestan estos servicios, quedando expresamente prohibida cualquier interferencia manual o mecánica en las mismas si no media consentimiento expreso e informado por parte de todos los intervinientes en la comunicación o cuando la misma está siendo objeto de seguimiento por razones de protección de la seguridad nacional.
El artículo 7.1 de la propuesta exige que los proveedores de servicios de comunicaciones electrónicas eliminen el contenido de las mismas cuando se reciban por el destinatario o destinatarios previstos.
Como se señala en el considerando (18): «En la economía digital, los servicios se prestan con frecuencia a cambio de una contraprestación distinta del dinero, por ejemplo exponiendo a los usuarios finales a anuncios publicitarios». No obstante, tal contraprestación exige el previo consentimiento del destinatario final del servicio, sea persona física o jurídica, un consentimiento informado que deberá ajustarse a lo previsto en el RGPD, teniendo en cuenta que: «Los servicios de acceso a la Internet de banda ancha básica y de comunicaciones de voz han de considerarse servicios esenciales para que los particulares puedan comunicarse y participar en las ventajas de la economía digital». Conforme a lo anterior, si el destinatario final carece de una verdadera libertad de elección o no le es posible denegar o dejar sin efecto su consentimiento sin una merma en el servicio, no podrá considerarse que el consentimiento es válido, pues debe primar el derecho a la privacidad del usuario sobre el de usar sus datos como contraprestación por el servicio recibido por parte del prestador del mismo.
Quedarían fuera de dicha obligación de obtener consentimiento aquellas situaciones que no comporten una intromisión en la privacidad de los usuarios —o que supongan una intromisión muy limitada—, tales como aquella que tenga un carácter puramente técnico y/o se lleve a cabo con el fin legítimo de permitir el uso del servicio de la sociedad de la información.
Señala el considerando (22) que los métodos para obtener el consentimiento informado deberán ser sencillos y garantizar que el interesado conozca la motivación de la recopilación, almacenamiento y, en su caso, cesión de datos, las consecuencias de su consentimiento y la posibilidad de revocar el mismo. Para evitar que los usuarios se sientan abrumados por la información que reciben antes de dar su consentimiento informado y la cantidad de ocasiones en que han de llevar a cabo tal manifestación, se prevé que se desarrollen ajustes en el navegador o aplicaciones de acceso para que se apliquen con carácter general a todos los servicios a los que accedan.
Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE.
El artículo 1.1 de la norma señala:
«El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales por las instituciones y organismos de la Unión y las normas relativas a la libre circulación de dichos datos entre ellos o entre ellos y destinatarios establecidos en la Unión».
El mismo se aplica a los datos tratados por cualquier organismo o institución de la Unión Europea que no guarden relación con las misiones civiles o militares enviadas a terceros Estados para «garantizar el mantenimiento de la paz, la prevención de conflictos y el fortalecimiento de la seguridad internacional, conforme a los principios de la Carta de las Naciones Unida» (art. 42.1 Tratado de la Unión Europea)
Conforme al artículo 3 (10) se considerarán «instituciones y organismos de la Unión»: «las instituciones, los órganos y los organismos de la Unión establecidos por el TUE, el TFUE o el Tratado Euratom o sobre la base de cualquiera de ellos».
La citada norma pretende que el tratamiento de los datos personales por parte de los organismos, órganos e instituciones de la Unión sea lícito y leal, entendiendo por tal aquel que se hace:
«(…) sobre la base de la necesidad del desempeño de una función realizada en interés público por parte de las instituciones y organismos de la Unión o en el ejercicio de sus potestades públicas, la necesidad de cumplir una obligación legal del responsable del tratamiento o sobre alguna otra base legítima con arreglo al presente Reglamento, incluido el consentimiento del interesado, la necesidad para el cumplimiento de un contrato en el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato» [considerando (22)].
Otras disposiciones
La recopilación, almacenamiento, uso y/o cesión de los datos personales en la Unión se regularán, además, por lo prevenido en el artículo 13 de la Directiva (UE) 2016/681 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de los delitos de terrorismo y de la delincuencia grave; en el capítulo VI (sobre las garantías de protección de datos) del Reglamento (UE) 2016/794 del Parlamento Europeo y del Consejo, de 11 de mayo de 2016, relativo a la Agencia de la Unión Europea para la Cooperación Policial (Europol); en el capítulo VIII (sobre protección de datos) del Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea y acuerdos con terceros Estados, como el celebrado con Estados Unidos para la protección de datos de carácter personal en relación con la prevención, investigación, detección y enjuiciamiento de las infracciones penales relacionadas con el terrorismo y la delincuencia organizada internacional (Acuerdo Marco); sobre registro de nombre de pasajeros, concluido con Australia, Canadá y Estados Unidos; y el Programa de seguimiento de la financiación del terrorismo, concluido también con Estados Unidos.
1. El Reglamento general de protección de datos
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) supone un paso decisivo en la protección de datos en el territorio de la Unión, una norma en cuyo considerando (4) se dice que: «El tratamiento de datos personales debe estar concebido para servir a la humanidad», concebido como un derecho fundamental para los ciudadanos de la Unión como envés del:
«(…) respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística».
El considerando (9) de la norma señala que «los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos», si bien se requiere una armonización y unificación normativa de la materia en todo el territorio de la Unión para que el derecho a la protección de los datos de carácter personal de los ciudadanos sea efectivo en un mundo interconectado y en el que la información fluye de forma instantánea a nivel global. Entiende el legislador de la Unión que la armonización garantiza la libre circulación de los datos de carácter personal, una circulación que mejora el ejercicio de las actividades económicas y la competencia.
El RGPD se aplica a personas físicas, no a las jurídicas, con independencia de su nacionalidad o lugar de residencia, protegiendo «(…) los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales».
Conforme al artículo 2.2 de la norma, el RGPD no se aplica a aquellas actividades que queden fuera del ámbito del Derecho de la Unión; a aquellas desarrolladas por los Estados miembro sobre política exterior y seguridad común; a las que efectúe una persona física en el ámbito personal o puramente doméstico; a aquellas que desarrollen las autoridades competentes «para la prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención»; o al tratamiento llevado cabo por los organismos, órganos o instituciones de la Unión.
Resulta particularmente relevante lo previsto en el artículo 3.1 del RGPD, cuando previene que el mismo se aplicará «al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no» y a aquellos interesados con residencia en un Estado miembro cuyos datos se traten en relación con:
«a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión».
Asimismo, el RGPD será aplicable cuando los datos sean tratados por un responsable que no estando establecido en un Estado miembro, pero sí en un territorio donde resulte de aplicación el Derecho de un Estados miembro en virtud del Derecho internacional público (art. 3.3).
Al efecto, señala CORDERO ÁLVAREZ (2019) que la principal novedad del RGPD respecto a la normativa anterior radica en la eficacia exterior de éste, ya que el mismo regirá el tratamiento de los datos de los ciudadanos residentes en un Estado miembro y las transferencias internacionales de los mismos, independientemente de donde radique el domicilio del encargado del tratamiento o el lugar físico donde se almacenan (p.54).
La definición de qué se entiende por «dato personal» viene recogida en el artículo 4.1) del RGPD, entiendo por tal:
«toda información sobre una persona física identificada o identificable ("el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona»
El concepto de «tratamiento» se concreta en el apartado 2) como:
«cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción»
El apartado 7) señala que tendrá la consideración de «responsable del tratamiento» o «responsable»:
«la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros»
A nivel de Whatsapp, toda aquella información sobre sus usuarios que exceda de los datos meramente técnicos necesarios para la prestación del servicio tendrá por lo tanto la consideración de «datos personales» sometidos al RGPD cuando los interesados tengan su residencia en el territorio de cualquiera de los Estados miembro y cuando preste sus servicios desde la filial establecida en Irlanda, ya que en tal caso el tratamiento de los datos se desarrollará por una entidad radicada en la Unión y por lo tanto sometida a sus normas, en particular de las relacionadas con la protección de datos.
En cuanto al concepto de tercero, relacionado en este caso con Facebook, previene el artículo 4.10) que se entenderá por tal aquella «persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado». Conforme a la meritada definición, es evidente que Facebook es una entidad distinta de Whatsapp, pese a que accionarialmente estén vinculadas desde la adquisición de ésta por Facebook Inc.
Los datos de los ciudadanos deberán ser tratados de forma lícita, leal, transparente y coherente con el consentimiento prestado por los interesados, correspondiendo al responsable del tratamiento la carga de la prueba de que se ha cumplido con lo prevenido en el artículo 5.1 del RGPD, con lo que se conoce como «responsabilidad proactiva».
Para que el tratamiento sea lícito, se exige que el mismo haya sido consentido expresamente y con carácter previo por el interesado, cuando sea necesario para la ejecución de un contrato del que forma parte el titular de los datos personales y cuando sea preciso «para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales» (art. 6.1 RGPD).
La norma no contiene una definición de qué ha de entenderse por «interés legítimo», si bien, como señala el Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE (34) del Grupo de Trabajo del Artículo 29 (35) , habrá de entenderse por «interés» «la razón específica por la que se tratan los datos: el objetivo o la intención del tratamiento de los datos», un interés que para ser considerado «legítimo» deberá ser proporcional a los intereses y derechos fundamentales del interesado que se superan para responder al fin que persigue el responsable del tratamiento. Tal interés deberá ser «real y actual» y puede limitarse al interés económico de una empresa o de un grupo de éstas, pudiendo comprender intereses triviales o apremiantes, incluida «la prospección convencional y otras formas de comercialización o publicidad». Como conclusión señala el Grupo de Trabajo sobre el concepto de «interés legítimo» que podrá entenderse como tal aquel en el que el responsable del tratamiento de los datos personales: «pueda perseguir este interés de conformidad con las leyes relativas a la protección de datos y con el resto de la legislación. En otras palabras, un interés legítimo debe ser "aceptable en virtud de la ley"» (pp. 29-30). El interés deberá ser por lo tanto lícito, claro y representar un interés real y actual, entendido como el apoyo legal que permite que los datos personales sean tratados.
En el caso de que Whatsapp alegase que la cesión de los datos de sus clientes en el territorio de la Unión obedece a un interés legítimo, habría que llevar a cabo lo que el Grupo de Trabajo del Artículo 29 denominó «prueba de sopesamiento», una ponderación en definitiva de los intereses del responsable del tratamiento de los datos personales y de los legítimos titulares de los mismos, debiendo velar porque la cesión de la información sea lícita conforme a la normativa de la Unión y a la del Estado miembro donde se preste el servicio. Recabado el consentimiento de los usuarios del sistema de mensajería podría llegarse a pensar que estamos ante un interés legitimo de Whatsapp como contraprestación por la gratuidad del servicio y por tratarse de una información que, en definitiva, va a formar parte de los datos personales almacenados y tratados por Facebook, la entidad matriz de Whatsapp. No obstante, parece poco probable que tal cesión de datos respete la normativa de la Unión, toda vez que las condiciones del tratamiento de los datos de los usuarios no es idéntica en ambas compañías y por no existir un consentimiento informado por parte del interesado, toda vez que no se le facilita el acceso a las condiciones que ofrece Facebook y, además, no existe una libertad de elección, toda vez que la negativa a la cesión de datos conllevaría la imposibilidad de seguir accediendo a un servicio que se ha convertido en un auténtico servicio público por el amplísimo número de usuarios, la intensidad de su uso y la falta de sistemas con una implantación similar que permitan a los interesados optar por otras aplicaciones como Telegram o Signal, con una implantación sensiblemente inferior a la de Whatsapp.
A mayor abundamiento, los datos personales que se ceden a Facebook pueden ser nuevamente cedidos a terceros con fines comerciales y para la elaboración de un perfil muy concreto sobre los hábitos del interesado, una finalidad que no supera el segundo escalón de la «prueba de sopesamiento», el que manda ponderar el interés de Whatsapp y Facebook y las repercusiones que ello tiene para los usuarios. En este caso parece evidente que el equilibrio entre los intereses de los prestadores del servicio y los interesados debe sustentarse sobre la renuncia a un derecho fundamental a cambio de continuar recibiendo un servicio de forma gratuita; sin que se ofrezca la posibilidad de continuar utilizando el sistema de mensajería a cambio de un precio o con publicidad. Tampoco parece lógico considerar superado este segundo paso de la «prueba de sopesamiento».
En tercer lugar, deberá analizarse si existen medidas adicionales que permitan el cumplimiento de la normativa sin perjudicar los intereses del responsable del tratamiento de los datos personales, estadio que tampoco supera la pretensión de Facebook y Whatsapp, pues reiterando lo dicho en el párrafo anterior, tales entidades pueden introducir publicidad en la aplicación y/o cobrar un precio por la descarga o por el uso a los interesados, sin necesidad de ceder sus datos personales como contraprestación por la gratuidad del citado sistema de mensajería instantánea.
Conforme a lo anterior, la cesión de datos que implantará Whatsapp en mayo de 2021 no sería admisible en el territorio de la Unión, ni aun alegando que concurre un interés legítimo por parte de la citada compañía o de su entidad matriz, ya que no supera ninguno de los requisitos que conforman la «prueba de sopesamiento» que define el Grupo de Trabajo del Artículo 29 (36) .
A diferencia de lo que ocurre en Estados Unidos, el consentimiento —siendo un requisito sine qua non— para poder almacenar y tratar datos de terceros, no es suficiente para que el responsable del tratamiento pueda llevar a cabo determinadas actuaciones que puedan ser consideradas ilícitas. A tal efecto, el consentimiento deberá ser acreditado por el responsable del tratamiento de los datos personales y haberse otorgado por el interesado mediante una declaración escrita que, cuando deba efectuarse en el contexto de varias declaraciones, estará suficientemente individualiza tanto la información como la prestación del consentimiento. Tal consentimiento deberá ser «informado», es decir: otorgado de forma libre, clara y tras una comprensión suficiente de la repercusión del mismo para el almacenamiento, tratamiento y, en su caso, cesión de sus datos de carácter personal.
El interesado estará facultado para retirar su consentimiento en cualquier momento, extremo del que se le deberá informar por parte del responsable del tratamiento de sus datos personales. La retirada del consentimiento válidamente dado no afectará al tratamiento que se haya dado a los datos entre uno y otro momento —siempre que el mismo haya sido lícito, transparente y leal—. La forma de retirar el consentimiento deberá ser tan sencilla como lo fue darlo, para evitar que se dificulte el ejercicio de tal derecho mediante la creación de mecanismos farragosos o injustificadamente complejos.
Cuando la información que se recopile y trate sea de menores de 16 años —aunque se faculta a los Estados miembro a rebajar esa edad hasta lo 13 años—, el consentimiento prestado por éstos no será válido a los efectos del Reglamento y, por lo tanto, su recopilación, almacenamiento, tratamiento y/o cesiones completamente ilícitas a los efectos del RGPD; salvo cuando medie el consentimiento del titular de la patria potestad o tutela sobre el menor.
El tratamiento de los datos personales puede perseguir, como se dijo, un rendimiento económico que remunere al prestador del servicio de la sociedad de la información, una posibilidad que aparece regulada en las Directivas (UE) 2019/2161 del Parlamento Europeo y del Consejo de 27 de noviembre de 2019 por la que se modifica la Directiva 93/13/CEE del Consejo y las Directivas 98/6/CE, 2005/29/CE y 2011/83/UE del Parlamento Europeo y del Consejo, en lo que atañe a la mejora de la aplicación y la modernización de las normas de protección de los consumidores de la Unión; Directiva (UE) 2019/770 DEL Parlamento Europeo y del Consejo de 20 de mayo de 2019 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales y 2019/771 del Parlamento Europeo y la Directiva (UE) del Consejo de 20 de mayo de 2019 relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE.
El considerando (31) de la Directiva (UE) 2019/2161 reconoce que «A menudo, el contenido digital y los servicios digitales se suministran en línea con arreglo a contratos en los que el consumidor no paga un precio, sino que proporciona datos personales al comerciante», de modo que la Directiva 2011/83/UE será de aplicación también cuando el consumidor pague por los servicios digitales que recibe proporcionando sus datos personales, garantizando que existe un tratamiento coherente en las Directivas 2011/83/UE y 2019/770/UE, reguladora de los contratos de suministro de naturaleza digital en los que se proporcionan datos de carácter personal. En tales supuestos, el comerciante deberá tratar los datos con arreglo al RGPD, siempre que tales datos le hayan sido proporcionados con un fin distinto de la propia prestación del servicio contratado.
En la misma línea se expresa el considerando (24) de la Directiva (UE) 2019/770 cuando previene que deben ponderarse la generalidad de casos en que se pagan los servicios digitales mediante la cesión de datos personales del interesado y la protección plena del derecho fundamental que les ampara como titulares de los mismos. A tal efecto, señala el citado considerando que «los datos personales no pueden considerarse una mercancía», de modo que los consumidores deberán contar con medidas correctoras contractuales que les permitan hacer valer tal derecho frente al profesional prestador del servicio. En estos supuestos, los datos personales podrán ponerse a disposición del responsable de su tratamiento en el momento de la celebración del contrato o en un momento posterior.
Sobre el particular, previene PLANA ARNALDOS (2020) que la «explotación económica de los datos» es una realidad que merece la atención del legislador, entendida como una regulación paralela al RGPD para proteger los derechos de los consumidores de los servicios de la sociedad de la información, donde a menudo se patrimonializan los datos de carácter personal como contraprestación de determinados servicios —conectando de esta forma con el derecho de los contratos—, una relación jurídica en la que existe un evidente desequilibrio entre la posición del consumidor y la del prestador del servicio (pp.563-564). Tradicionalmente se han establecido mecanismos para proteger los intereses de los ciudadanos —en su calidad de consumidores— frente a grandes entidades capaces de predisponer cláusulas o contratos que el particular no puede más que aceptar o rehusar en su conjunto, un modelo pensado para empresas suministradoras de servicios esenciales como la electricidad, el gas o las telecomunicaciones, pero en los últimos años servicios como el que presta Whatsapp se han generalizado de tal forma que aquella persona que no dispone del mismo está poco menos que incomunicada. Para evitar que los consumidores sufran abusos en el tratamiento de sus datos de carácter personal cuando éstos son usados como contraprestación para el disfrute de un servicio de la sociedad de la información, la Unión Europea ha comenzado a implementar medidas que en Estados Unidos son perfectamente admisibles, incluso en legislaciones como la californiana —más próxima al modelo europeo que al estadounidense— donde se permite la compraventa de datos entre responsables de su tratamiento siempre que se informe al consumidor y que éste haya prestado su consentimiento al tratamiento por parte de la entidad cedente.
El concepto de responsable del tratamiento de los datos personales es otro de los elementos esenciales para la efectividad de los parámetros de protección de los datos mismos y deberá ser interpretado de forma laxa, ya que como señala la Sala Segunda del TJUE en la Sentencia de 29/07/2019 en el caso Fashion ID (asunto C-40/17) (37) incluso el administrador de una web en la que se inserta un módulo de acceso a Facebook es corresponsable del tratamiento que da Facebook a los datos personales de los usuarios que acceden a dicha red social desde su página, por el mero hecho de facilitar el acceso a la misma (38) .
A tal efecto, el Supervisor Europeo de Protección de Datos (SEPD) y las autoridades de control de los Estados miembro deberán aplicar la norma atendiendo a las circunstancias de cada caso para determinar quién o quiénes son las personas o entidades responsables del tratamiento de los datos personales, una labor que en el caso de Whatsapp seguirá siendo responsabilidad de la filial irlandesa de la compañía, debiendo ésta asumir las consecuencias que un tratamiento indebido de los datos de sus clientes pudiera generar, incluido por su cesión inconsentida a la matriz Facebook Inc.
Como señala el considerando (102) del RGPD, el mismo se aplicará sin perjuicio de los acuerdos internacionales que adopte la Unión Europea con terceros países para favorecer un adecuado tratamiento de los datos personales de los europeos y/o por parte de las empresas con domicilio en un Estado miembro. A tal efecto, se consideran países con un adecuado nivel de protección a Andorra, Argentina; Canadá; Guernsey; Islas Feroe; Isla de Man; Israel; Japón; Jersey; Nueva Zelanda; Suiza y Uruguay; no así Estados Unidos, especialmente tras las últimas resoluciones del TJUE dejando sin efecto los acuerdos adoptados en esta materia con los norteamericanos.
Conforme a lo anterior, el RGPD no permite la cesión de los datos de sus clientes que WhatsApp LLC tiene previsto realizar a favor de Facebook Inc.
2. La Convención 108+
El 28 de enero de 1981 se firmó el Convenio 108 del Consejo de Europa para la regulación del tratamiento automatizado de datos de carácter personal, un acuerdo internacional vinculante pionero en esta materia para «el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona».
Transcurridos 37 años desde la aprobación de la Convención 108 se acordó su reformulación el pasado 18 de mayo de 2018 para, principalmente, adaptarla al RGPD aprobado por la Unión Europea. El nuevo texto incide en la consideración de que la protección de los datos de carácter personal entronca directamente con la dignidad humana y, por lo tanto, con los derechos y libertades fundamentales individuales, especialmente en un momento como el actual en el que el desarrollo tecnológico y la globalización en materia de procesamiento y flujo de datos exige no sólo la colaboración entre Estados, sino también la armonización de los valores fundamentales del respeto a la privacidad y protección de datos personales.
La nueva norma (39) , en línea con el RGPD, ahonda en los deberes de transparencia y proporcionalidad en el tratamiento de los datos personales por parte de los responsables, reforzando las garantías y las medidas de prevención. Se amplía el concepto de datos personales de especial protección (incluyendo aspectos no previstos en 1981 —por el desarrollo de la técnica en ese momento— como la información genética, entre otros), se impone la obligación de informar a los organismos competentes sobre las posibles fallas en la seguridad en el tratamiento de este tipo de datos que puedan afectar a los titulares de tales datos, se refuerza la transparencia en todas las fases del proceso de tratamiento de datos, se refuerzan los derechos de acceso y supresión a favor de los titulares de los datos y el papel de las autoridades de control del tratamiento.
La meritada norma ha sido ratificada por los Estados miembro de la Unión Europea y otros países como por ejemplo Uruguay, México, Argentina, Cabo Verde o Rusia, lugares donde la aplicación de las nuevas condiciones del servicio de Whatsapp pueden entrar en contradicción con sus respectivas legislaciones, las cuales deberán adaptarse a los principios de la Convención 108+ y, por lo tanto, la transparencia en el tratamiento de los datos de carácter personal y su proporcionalidad serán cuestiones a tomar en consideración por parte de las autoridades de control de estos Estados contratantes.
3. Apuntes sobre el modelo europeo
Como señala PLANA ARNALDOS (2020):
«(…) existen dos tradiciones antagónicas en el entendimiento de los datos personales, de un lado la europea, que ancla su protección en el derecho a la intimidad (…) y afirma la extrapatrimonialidad; y de otro lado la angloamericana, que trata de manera más abierta el right of privacy, y su reverso, el right of publicity que se considera un auténtico derecho subjetivo, probablemente calificable como propiedad, y con el que admite comerciar» (p.574).
Apunta el citado autor la principal diferencia entre los modelos estadounidense y europeo, pues en nuestro sistema legal la protección de datos se concibe más con un derecho fundamental que como un derecho de carácter patrimonial y, por lo tanto, no monetizable. El pago de los servicios de la sociedad de la información con datos de carácter personal es una posibilidad en los Estados miembro, si bien se exige a aquellas entidades que, como Whatsapp, decidan obtener beneficios a través de este método que se ofrezca a los usuarios la opción de continuar utilizando dicho sistema de mensajería, de llamadas y de videollamadas bien de forma gratuita, gracias a la publicidad, pagando un precio por ello o de cualquier otra manera que haga posible que los interesados tengan la verdadera posibilidad de decidir sobre el tratamiento de sus datos personales sin quedar fuera de un medio de comunicación que se ha hecho prácticamente imprescindible en la actualidad.
IV. Las condiciones particulares de whatsapp
Señala Whatsapp (40) que los usuarios de su sistema de mensajería proporcionan la siguiente información a la compañía:
«Información de tu cuenta.Cuando creas una cuenta de WhatsApp, debes proporcionar tu número de teléfono móvil junto con cierta información básica (incluido un nombre de perfil de tu elección). Si no nos proporcionas esta información, no podrás crear una cuenta para usar nuestros Servicios. Puedes agregar otra información a tu cuenta, como la foto del perfil e información sobre ti».
La información de la cuenta puede considerarse la imprescindible para poder prestar el servicio, pues todos los perfiles de usuario de Whatsapp están vinculados a un número de teléfono, sin más información que la que desee aportar el interesado a través de su nickname (nombre de perfil), unos datos comprendidos en el ámbito de aplicación del RGPD por hacer identificable al usuario. Además de dicha información elemental, el usuario puede aportar más información sobre sí mismo a través de imágenes, fotos de perfil, estados temporales, página web, teléfono, ubicación y más.
«Tus mensajes. Durante la prestación ordinaria de nuestros Servicios, no conservamos tus mensajes, sino que se almacenan en tu dispositivo (no se guardan generalmente en nuestros servidores). Una vez que se entregan tus mensajes, se eliminan de nuestros servidores. En los siguientes ejemplos, se describen situaciones en las que podemos almacenar tus mensajes hasta que se entreguen:
Mensajes no entregados. Si un mensaje no se puede entregar de inmediato (por ejemplo, si el destinatario no tiene conexión a Internet), lo conservamos de forma cifrada en nuestros servidores durante un plazo máximo de 30 días mientras intentamos entregarlo. Si el mensaje no se entrega después de 30 días, lo eliminamos.
Reenvío de archivos multimedia. Si un usuario reenvía archivos multimedia en un mensaje, los almacenamos temporalmente de forma cifrada en nuestros servidores para garantizar una entrega más efectiva de reenvíos adicionales.
Ofrecemos cifrado de extremo a extremo para nuestros Servicios. Con el cifrado de extremo a extremo, tus mensajes se cifran de modo que no pueden ser leídos ni por nosotros ni por terceros. Más información sobre el cifrado de extremo a extremo y cómo las empresas se comunican contigo en WhatsApp».
En materia de seguridad las conversaciones y llamadas de Whatsapp están cifradas desde su origen hasta su recepción por el destinatario, siendo los dispositivos de uno y otro los únicos lugares donde se almacena la información que se transmitido entre éstos —salvo el tiempo necesario para la recepción del mensaje por parte del receptor—, lapso durante el que los mensajes —cifrados— se almacenan temporalmente en los servidores de la compañía, sin que ni ésta ni sus empleados puedan acceder a la misma por el sistema de cifrado (41) .
La protección de los mensajes y por lo tanto la privacidad de los usuarios está garantizada, si bien la empresa sí dispone de información sensible sobre los usuarios a través de su red de contactos, la hora de uso del sistema, la frecuencia en que se envían o reciben mensajes de otros contactos o los grupos de los que se forma parte, entre otros aspectos. Sobre el particular, señalan las condiciones generales del servicio:
«Tus conexiones. Puedes utilizar la función de carga de contactos y, de conformidad con la legislación aplicable, proporcionarnos los números de teléfono que figuran en tu libreta de contactos de forma habitual, incluidos los de los usuarios de nuestros Servicios y tus otros contactos. Si alguno de tus contactos aún no utiliza nuestros Servicios, administraremos esta información para ti de modo que se garantice que no podamos identificar a esos contactos. Obtén más información sobre nuestra función de carga de contactos aquí. Puedes crear, unirte o recibir la invitación para unirte a grupos o listas de difusión, los cuales quedarán asociados a la información de tu cuenta. Tú asignas un nombre a tus grupos y también puedes agregarles una foto del perfil o una descripción.
Información sobre estados. Puedes proporcionarnos un estado si decides incluir uno en tu cuenta. Obtén más información sobre cómo usar los estados en Android, iPhone o KaiOS».
La aplicación permite en países como Estados Unidos llevar a cabo pagos o transacciones económicas —principalmente a través de Facebook o de Whatsapp Business— que recaban y tratan datos especialmente sensibles de los usuarios, tales como los medios de pago, los patrones de compra y productos preferidos de los usuarios, información protegida en la legislación americana por la normativa relativa a las transacciones económicas. Sobre el particular, señalan las condiciones:
«Datos de pagos y transacciones. Si usas nuestros servicios de pagos, o usas nuestros Servicios para compras u otras transacciones financieras, trataremos información adicional sobre ti, incluida la información sobre transacciones y cuentas de pagos. La información de transacciones y cuentas de pagos incluye los datos necesarios para completar la transacción (por ejemplo, el método de pago, los detalles de envío y el importe de la transacción). Si usas nuestros servicios de pagos disponibles en tu país o territorio, encontrarás la descripción de nuestras prácticas de privacidad en la política de privacidad de pagos correspondiente».
Sobre el particular, como se dijo, las condiciones particulares del servicio no pueden suponer una violación de la «legítima expectativa de privacidad» de los usuarios, al tratarse de un derecho consagrado en la IV Enmienda de la Constitución Estadounidense (42) y ello incluso tras la finalización de la relación contractual entre las partes (LYNCH, CROCKER y BERGMAN, 2018, p.19).
WhatsApp recopila información de los usuarios de forma automática, en particular la siguiente:
«Información sobre uso y registros. Recopilamos información sobre tu actividad en nuestros Servicios, como datos relativos al servicio, el diagnóstico y el rendimiento. Esto incluye información sobre tu actividad (incluido cómo usas nuestros Servicios, los ajustes que elegiste, cómo interactúas con otros por medio de ellos [incluido cuando interactúas con una empresa] y el tiempo, la frecuencia y la duración de tus actividades e interacciones), archivos de registro, así como registros e informes de diagnóstico, error, sitio web y rendimiento. También incluye información sobre el momento en el que te registraste para usar nuestros Servicios, las opciones que usas, como mensajería, llamadas, estados, grupos (incluidos el nombre, la foto y la descripción del grupo), las opciones de empresa o pagos, la foto del perfil, información sobre ti mismo, si te encuentras en línea, así como la última vez que usaste nuestros Servicios (tu estado de última conexión) y la última vez que actualizaste los datos de tu info.
Información sobre el dispositivo y la conexión. Recopilamos información específica relacionada con el dispositivo y la conexión cuando instalas o usas nuestros Servicios, o bien cuando accedes a ellos. Esto incluye información como el modelo del hardware, el sistema operativo, el nivel de carga de la batería, la potencia de la señal, la versión de la aplicación, el navegador, la red móvil, la conexión (incluido el número de teléfono, el operador de telefonía móvil o proveedor de servicios de Internet), el idioma y la zona horaria, la dirección IP, datos sobre las operaciones de dispositivos e identificadores (como identificadores únicos para los productos de las empresas de Facebook asociados al mismo dispositivo o a la misma cuenta).
Información de ubicación. Recopilamos y usamos información de ubicación precisa de tu dispositivo con tu permiso cuando seleccionas usar opciones relacionadas con la ubicación, como cuando decides compartir tu ubicación con tus contactos o ver ubicaciones cercanas o que otros contactos compartieron contigo. Existen determinados ajustes que están relacionados con la información de ubicación que puedes encontrar en la configuración de tu dispositivo o en los ajustes en la aplicación, como la opción para compartir ubicación. Aunque no uses nuestras opciones relacionadas con la ubicación, usamos la dirección IP y otra información, como los códigos de área de números de teléfono, para estimar cuál es tu ubicación general (por ejemplo, ciudad y país). También usamos la información de tu ubicación con fines de diagnóstico y resolución de problemas.
Cookies. Usamos cookies para operar y proporcionar nuestros Servicios, además de proporcionarte nuestros Servicios basados en Internet, mejorar tus experiencias, entender cómo se usan nuestros Servicios y personalizarlos. Por ejemplo, usamos cookies para proporcionar nuestros Servicios para computadora e Internet y otros servicios basados en Internet. También podemos usar las cookies para entender cuáles son los artículos más populares de nuestro Centro de ayuda con el fin de mostrarte el contenido relevante relacionado con nuestros Servicios. Adicionalmente, podemos usar cookies para recordar las opciones que elegiste, como las preferencias de idioma, a fin de proporcionarte una experiencia más segura y, de otro modo, para personalizar nuestros Servicios según tus intereses. Más información sobre cómo usamos las cookies para proporcionarte nuestros Servicios».
La polémica por la información que Whatsapp va a ceder a Facebook sobre todos aquellos usuarios que no tengan su residencia en un Estado miembro de la Unión Europea o que no hayan contratado los servicios vinculados a un número de teléfono con prefijo de un Estado miembro parte de la información recopilada de forma automática por Whatsapp, entre la que se encuentra —tal como consta en las condiciones del servicio— datos sobre horarios de uso, personas con las que se mantiene mayor o menor relación, las redes de contactos de unos y de otros, los bienes y/o servicios interesantes para el usuario y el horario en que se contacta con los perfiles profesionales de la red (es en esta información la que parece tener mayor valor comercial para la compañía), el terminal, la red móvil, la ubicación, idioma y también la dirección IP. Toda esta información es recopilada por Whatsapp sin que el interesado pueda optar por denegar el acceso y tratamiento de una parte o de todos sus datos personales ni ofreciendo la posibilidad de ejercer la acción de cesación sin dejar de utilizar el producto.
Especialmente delicado es el tratamiento de dicha información cuando se señala:
«Proveedores de servicios de terceros. Trabajamos con proveedores de servicios de terceros y otras empresas de Facebook para que nos ayuden a operar, proporcionar, mejorar, entender, personalizar, respaldar y promocionar nuestros Servicios. Por ejemplo, trabajamos con ellos para distribuir nuestras aplicaciones; proporcionar sistemas de infraestructura técnica y física, de entrega y otros; proporcionar soporte operativo, de ingeniería y de ciberseguridad; proporcionar información sobre ubicación, mapas y lugares; procesar pagos; ayudarnos a entender cómo las personas usan nuestros Servicios; promocionar nuestros Servicios; ayudarte a conectar con las empresas que usan nuestros Servicios; realizar encuestas e investigaciones; garantizar la seguridad, la protección y la integridad; y contribuir con el servicio de atención al cliente. Es posible que estas empresas nos proporcionen información sobre ti en determinadas circunstancias, por ejemplo, las tiendas de aplicaciones pueden proporcionarnos informes para ayudarnos a diagnosticar y solucionar problemas con el servicio.
(…)
Nuestras operaciones internacionales
WhatsApp comparte información de forma internacional, tanto internamente dentro de las empresas de Facebook como externamente con nuestros socios, proveedores de servicio y con las personas con las que te comunicas en todo el mundo, de conformidad con esta Política de privacidad. Por ejemplo, tu información se podría transferir o transmitir a los Estados Unidos, a países o territorios donde los afiliados y socios de las empresas de Facebook, o nuestros proveedores de servicio, se ubiquen, o a otro país o territorio del mundo donde nuestros Servicios se proporcionen fuera del lugar donde vives, o bien se almacene o se trate en ellos, para los fines que se describen en esta Política de privacidad. WhatsApp usa los centros de datos y la infraestructura global de Facebook, incluso en los Estados Unidos. Estas transferencias son necesarias para proveer los Servicios a nivel mundial, como se establece en nuestras Condiciones. Recuerda que la protección y las normas de privacidad de los países y territorios a los que se transfiere tu información pueden ser diferentes a las de tu territorio o país de residencia».
La polémica generada en torno al tratamiento de estos datos personales y su cesión a la matriz Facebook Inc. han llevado a la compañía californiana a modificar el plan inicial, permitiendo a todos aquellos usuarios residentes en la Unión Europea, así como aquellos otros que hayan vinculado su cuenta de Whatsapp a un número con prefijo de uno de los Estados miembros de la Unión, continuar recibiendo la prestación del servicio sin necesidad de aceptar los términos y condiciones que sí se imponen al resto de los usuarios.
En cuanto al uso de la información, señalan las condiciones particulares:
«Usamos la información que tenemos (sujeta a las elecciones que hagas y la normativa aplicable) para operar, proporcionar, mejorar, entender, personalizar, respaldar y promocionar nuestros Servicios. Así es como lo hacemos:
Nuestros Servicios.Usamos la información que tenemos para operar y proporcionar nuestros Servicios, que incluyen proporcionarte soporte técnico, completar compras o transacciones, mejorar, corregir y personalizar nuestros Servicios, así como conectarlos con los productos de las empresas de Facebook que uses. También usamos la información que tenemos para entender cómo se usan nuestros Servicios, los evaluamos y mejoramos, realizamos investigaciones, desarrollamos y probamos nuevos servicios y funciones, además, llevamos a cabo actividades destinadas a resolver problemas. También usamos tu información para responderte cuando te pones en contacto con nosotros.
Protección, seguridad e integridad.La protección, la seguridad y la integridad son la parte integral de nuestros Servicios. Usamos la información que tenemos para verificar cuentas y actividades, combatir conductas dañinas, proteger a los usuarios de las malas experiencias y el spam, y fomentar la protección, la seguridad y la integridad tanto dentro como fuera de nuestros Servicios, como, por ejemplo, mediante la investigación de actividades sospechosas o incumplimientos de nuestras Condiciones y políticas, así como para garantizar que nuestros Servicios se utilicen de manera legal. Para obtener más información, consulta la sección Legislación, nuestros derechos y protección que se encuentra a continuación.
Comunicaciones acerca de nuestros Servicios y las empresas de Facebook.Usamos la información que tenemos para comunicarnos contigo respecto a nuestros Servicios, informarte sobre nuestras condiciones y políticas y mantenerte al tanto de cualquier actualización importante. Es posible que te proporcionemos materiales de marketing relativos a nuestros Servicios y a los de las empresas de Facebook.
Cómo trabajamos en conjunto con otras empresas de Facebook
Como parte de las empresas de Facebook, WhatsApp recibe información de las otras empresas de Facebook, así como también comparte información con ellas (consulta aquí). Ambas partes podemos usar la información que recibimos para operar, proporcionar, mejorar, entender, personalizar, respaldar y promocionar nuestros Servicios y sus ofertas, incluidos los productos de las empresas de Facebook. Esto incluye lo siguiente:
Ayudar a mejorar la infraestructura y los sistemas de entrega.
Entender cómo se usan nuestros Servicios o los de ellas.
Promover la seguridad, protección e integridad a través de los productos de las empresas de Facebook, por ejemplo, sistemas de seguridad y de lucha contra spam, amenazas, abuso o actividades que infrinjan las leyes.
Mejorar sus servicios y tus experiencias al usarlos, como hacer sugerencias para ti (por ejemplo, de conexiones de amigos o grupos o de contenido interesante), personalizar funciones y contenido, ayudarte a completar compras y transacciones, y mostrarte publicidad y ofertas relevantes a través de los productos de las empresas de Facebook.
Proporcionar integraciones que te permitan conectar tus experiencias de WhatsApp con otros productos de las empresas de Facebook. Por ejemplo, permitirte conectarte con tu cuenta de Facebook Pay para pagar productos o servicios en WhatsApp o permitirte chatear con tus amigos a través de otros productos de las empresas de Facebook, como Portal, mediante tu cuenta de WhatsApp».
Las condiciones particulares reconocen un tratamiento de los datos personales prácticamente conjunto entre ambas entidades (matriz y filial), tan profundo como le permita la legislación aplicable, quedando incluso facultada —salvo prohibición expresa— para ceder tal información a socios o colaboradores de una y otra entidad, de modo que la información que recopila Whatsapp de un usuario sin cuenta en la red social Facebook puede ser comercializada por el conglomerado de Facebook Inc. a socios o colaboradores de ésta, es decir, de una entidad con la que no tiene relación directa el usuario de Whatsapp.
V. Conclusiones
Como señala TENE (2007) cada día las compañías tecnológicas reciben información sobre los intereses, necesidades, deseos, miedos, gustos e intenciones de millones de personas en todo el mundo (p.1436), un volumen de información que, analizada, puede llegar a aportar una información sobre el individuo que pareciese imposible con cada pequeña acción en Internet (SOLOVE, 2006, pp. 506-507). El tratamiento de datos ha llegado a un nivel de desarrollo tal que el control de la recopilación y el almacenamiento de los datos personales, siendo necesario, no es suficiente para proteger la privacidad de los usuarios de las tecnologías de la información y la comunicación (The White House, 2014, p.54). Dicha información hace que estas compañías puedan llegar a conocer a las personas más que ellas mismas y, por lo tanto, deben ser objeto de protección por las autoridades de control.
Las condiciones del servicio de Whatsapp a nivel global se ajustan a la normativa estadounidense, donde, como se dijo, se conciben los datos personales como un derecho individual patrimonializable, de modo que el usuario de un producto o servicio de la sociedad de la información puede decidir pagar tal producto o servicio con sus datos personales. Incluso la legislación californiana —auspiciada por la hoy Vicepresidente de Estados Unidos Kamala Harris—, la más avanzada de las disposiciones legales sobre la materia en dicho país, ampara que compañías como Whatsapp y Facebook comercien con los datos de aquellos usuarios de sus servicios que así se lo permitan, exigiendo para ello que exista un consentimiento informado.
Por el contrario, como prueba el hecho de que tales condiciones no se apliquen a los usuarios residentes en un Estado miembro de la Unión Europea (o a aquellos otros que sin ser residentes sí tengan vinculado el servicio a un número con prefijo en un Estado miembro), la normativa europea no permite que el uso de los datos por parte de una persona física o jurídica se lleve a cabo sino de forma informada por parte del consumidor, permitiéndole individualizar qué tratamiento permite y hasta dónde, capacitándole para ejercer su derecho de cancelación e impidiendo que se dé a los datos personales un tratamiento ilícito, concebido como un uso injustificado de los mismos, una utilización en la que cabría incluir el tratamiento de los datos que plantea Whatsapp por los siguientes motivos:
En primer lugar, se trata de una recogida de datos indiscriminada, de modo que no puede aceptarse una recogida y tratamiento concreto, sino que debe aceptarse en su conjunto o no hacerlo.
En segundo lugar, el éxito de la aplicación ha hecho que la falta de acceso a dicho sistema de mensajería y llamadas pueda comportar graves perjuicios para aquellos usuarios que, sin querer facilitar sus datos a Whatsapp, no ven otra opción para seguir disfrutando del servicio que ofrece la compañía estadounidense, pudiendo ver conculcados inclusos sus derechos fundamentales.
Finalmente, Whatsapp permite que quienes no consientan en el tratamiento de sus datos personales puedan seguir disfrutando del servicio, opción que se ha adoptado cuando la fecha del cambio de condiciones se hacía inminente.
En tercer lugar, Whatsapp recaba información personal que no es necesaria para la prestación del servicio y permite crear un perfil personal y comercial del usuario difícilmente calificable como lícito, ya que se recaban datos de ubicación, hábitos de uso y de compra, compañía de telecomunicaciones, contactos con los que se está más intensamente relacionado, contactos que encontrándose en la agenda del usuario no usan Whatsapp y un largo etcétera. Toda esa información es tratada con fines puramente comerciales.
En cuarto lugar, la compañía pone en común toda la información recopilada con su empresa matriz: Facebook Inc. y con los socios y colaboradores de una y otra sin que los usuarios puedan decidir sobre tal cesión internacional de datos, sobre la legislación aplicable a su tratamiento y sin que se le detalle quiénes son tale socios o colaboradores ni el motivo por el que se les ceden los datos del usuario.
A la vista de lo anterior, puede concluirse que las condiciones particulares de Whatsapp son inviables en la Unión Europea y susceptibles de revisión en Estados Unidos si los usuarios deciden acudir a los tribunales arbitrales o de justicia para que decidan sobre la validez del consentimiento dado e incluso por parte de las autoridades federales y estatales de control.
VI. Bibliografía
CORDERO ÁLVAREZ, C. I. (2019). La transferencia internacional de datos con terceros estados en el nuevo reglamento europeo: especial referencia al caso estadounidense y la Cloud Act. Revista Española de Derecho Europeo, 70. (pp. 49-108). https://is.gd/saWw6j
Editorial Board. (09/02/2020). Apps are selling your location data. The U.S. government is buying. The Washington Post. https://clck.ru/T2yoj
LÓPEZ AGUILAR, J. F. (2017). La protección de datos personales en la más reciente jurisprudencia del TJUE: los derechos de la CDFUE como parámetro de validez del derecho europeo, y su impacto en la relación transatlántica UE-EEUU. UNED. Teoría y Realidad Constitucional, 39. (pp 557-581). https://is.gd/hHbfuq
LYNCH, J.; CROCKER, A. y BERGMAN, B. E. (2018). Brief of Amici Curiae Electronic Frontier Foundation, Brennan Center for Justice, Center for Democracy and Technology, and National Association of Criminal Defense Lawyers in support of defendant-appellant and reversal. https://cutt.us/MIgxI
MONTALBANO, L. (2019). El reglamento europeo de protección de datos personales y el derecho al olvido (Tesis doctoral). Universidad Complutense de Madrid. https://clck.ru/T6xxs
PLANA ARNALDO, M. C. (2020). Los datos personales como contraprestación. En I. GONZÁLEZ PACANOWSCA (Coord.). Protección de Datos Personales (pp.566-575). Valencia: Tirant lo blanch
SALDAÑA, M. N. (2012). «The right to privacy». La génesis de la protección de la privacidad en el sistema constitucional norteamericano: el centenario legado de Warren y Brandeis. UNED. Revista de Derecho Político, 85. (pp. 195-240). https://clck.ru/T6xvP
SOBRINO GARCÍA, I. (2019). Protección de datos y privacidad. Estudio comparado del concepto y su desarrollo entre la Unión Europea y Estados Unidos. Revista de Derecho UNED, 25. (pp. 687-713). https://clck.ru/Suof9
SOLOVE, D. J. (2006). A Taxonomy of Privacy. University of Pennsylvania Law Review, 3 (154). (pp. 477-560). https://clck.ru/Suo6W
TASSANAKUNLAPAN, T. (2017). Protection of Personal Data in Cyberspace: The EU-US E-Market Regime (Tesis doctoral). Universidad de Barcelona. https://is.gd/DD003v
TENE, O. (2007). What Google Knows: Privacy and Internet Search Engines. Utah Law Review, Forthcoming. (pp. 1433-1483). https://clck.ru/SuneD
The White House. (2012). Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy and Promoting Innovation in the Global Digital Economy. https://clck.ru/SubsV
Executive Office of the President-The White House. (2012). Big Data: Seizing Opportunities, preserving values. https://is.gd/OrGV0u
SÁNCHEZ DOMINGO, M. B. (2017). La protección de datos personales en el espacio de libertad, seguridad y justicia. especial consideración a las transferencias de datos a terceros países y organizaciones internacionales según la Directiva 2016/680. Revista de Estudios Europeos, 69. (pp. 17-36). https://cutt.us/fmXpG
WARREN, S. D. y BRANDEIS, L.D. (1890). The right to privacy. Harvard Law Review IV (5). (pp. 194-220). https://cutt.us/rN3Vd
WEISS, M. A. y ARCHICK, K. (2016). U.S.-EU Data Privacy: From Safe Harbor to Privacy Shield. Congressional Research Service. https://clck.ru/T6xyS
WISIACKAS, J. S. (2017). Foreign Account Tax Compliance Act: What it Could Mean for the Future of Financial Privacy and International Law. Emory International Law Review, 31. (pp. 586-619). https://is.gd/S44qae