¡No estoy seguro! La última advertencia de protección de datos de las autoridades irlandesas contra WhatsApp muestra que el servicio de mensajería no solo es poco transparente con los datos de sus propios usuarios. Aparentemente, WhatsApp almacena los datos de personas que no usan el servicio en absoluto, sin su conocimiento, indefinidamente y mal encriptados.
Cualquiera que no confíe en WhatsApp para proteger sus datos personales no está obligado a utilizar el servicio. Después de todo, hay muchas alternativas. Pero como muestra la última advertencia de protección de datos del servicio de mensajería, incluso si no eres un usuario, tus datos terminan en WhatsApp sin tu conocimiento o consentimiento. Y no solo esto.
La empresa almacena los números de teléfono de los no usuarios (!) en una lista especial por un período indefinido. La tecnología que WhatsApp también usa para encriptar sus datos en esta lista tiene un umbral tan bajo que WhatsApp puede encontrar fácilmente su número de teléfono.
Violación del RGPD: WhatsApp deberá pagar 225 millones de euros
Por lo tanto, WhatsApp puede violar el Reglamento General Europeo de Protección de Datos (GDPR) y recopilar y almacenar datos personales no autorizados durante años. Así lo demuestra la última advertencia de protección de datos de WhatsApp.
WhatsApp ha sido multado con 225 millones de euros por la autoridad irlandesa de protección de datos DPC. La autoridad justificó esto diciendo que, en su opinión, la subsidiaria de Facebook violó el RGPD de varias maneras.
Por un lado, se trataba del hecho de que WhatsApp no explica de manera suficiente y clara a sus usuarios qué datos personales se almacenan, con qué fines y de qué forma se transfieren (incluso a la empresa matriz Facebook).
Pero a las autoridades también les preocupaba otra práctica de mensajería: emparejar contactos dentro de la aplicación. Y va mucho más allá de lo conocido anteriormente.
Comparación de contactos dudosos
Cuando inicia sesión en WhatsApp, se sincroniza con su lista de contactos. Es así como WhatsApp quiere saber cuáles de tus contactos también están registrados en WhatsApp y mostrártelo directamente.
Esto facilita la conexión a WhatsApp, pero requiere que WhatsApp tenga acceso a sus contactos. Usted acepta esto cuando se suscribe al servicio de mensajería. Solo: tus contactos no hacen esto a menos que también usen WhatsApp.
Pero para determinar quién está conectado a WhatsApp y quién no, el servicio debe procesar todos sus números de contacto, incluidos los números de teléfono de los usuarios que no usan WhatsApp. En consecuencia, nunca estuvieron de acuerdo con esto y no saben nada al respecto.
Esto es problemático desde el punto de vista de la ley de protección de datos, por lo que muchas empresas también prohíben el uso del servicio en el sector empresarial.
Es esta comparación de contactos la que varias autoridades europeas de protección de datos han informado al DPC como una violación del RGPD. La interferencia de Messenger con sus datos personales parece ir incluso más allá de lo que se sabía anteriormente.
Después de todo, WhatsApp almacena sus datos de contacto.
Hasta ahora, WhatsApp siempre ha asegurado que estos números de su lista de contactos no se guardarán. Esto es lo que dice la compañía:
No almacenamos estos números de teléfono y solo los procesamos durante un breve período de tiempo para crear hashes criptográficos que nos permitan asociarlo a usted y estos contactos de manera más efectiva cuando se unen a WhatsApp.
Sin embargo, como muestra el documento DPC, esto no es del todo cierto y WhatsApp almacena estos números de contacto.
WhatsApp también supuestamente utiliza una práctica muy extraña para esto: los números de personas que el servicio identifica como no usuarios se almacenan en una «lista de no usuarios» especial por un tiempo «indefinido», como se indica en el documento DPC. . No está claro si WhatsApp alguna vez eliminará esta lista.
¿Por qué WhatsApp lo necesita? No despejes. ¿El servicio de mensajería está pasando esto a Facebook? ¡Quién sabe! ¿Viola el RGPD? Según el DPC, ¡sí!
Los datos que no son de usuario están mal encriptados
Por supuesto, WhatsApp no tiene esta lista de números de teléfono sin cifrar. La información sobre los no usuarios se cifra de antemano mediante un proceso hash. Los números están empaquetados en código y alienados. Esto protege los datos que no son de usuario, dice la compañía.
Si uno de sus contactos aún no utiliza nuestros Servicios, almacenamos esta información para usted de una manera que garantiza que no podamos identificar a ese contacto.
Pero al parecer, este procedimiento es menos seguro de lo que WhatsApp imaginaba anteriormente. Porque WhatsApp solo usa un valor hash de 39 bits para ocultar los números. Este valor hash corresponde a un máximo de otros 16 números de teléfono conocidos por WhatsApp, tanto usuarios como no usuarios.
En otras palabras: el valor hash no se puede asignar únicamente a un número, sino a 16 números de teléfono. Lo peor. Pero a menudo hay menos. No es muy seguro, dicen los expertos. Y esto es lo que hace que sea extremadamente fácil para WhatsApp hacer coincidir la cantidad de no usuarios con la cantidad de usuarios en el proceso de retiro y extraerlos nuevamente mediante el proceso de exclusión.
WhatsApp guarda datos y lo considera sin problemas
WhatsApp, a su vez, pone excusas al centro de datos y cree que la práctica del hashing está libre de problemas. Después de todo, la idea de que alguien desempaque valores hash y recolecte números es solo teórica. Prácticamente nadie hace esto en WhatsApp. Esto protege los números privados.
Y dado que estos números están seudonimizados usando un valor hash, no son datos privados. Pero la Autoridad Irlandesa de Protección de Datos piensa lo contrario. Y el hecho de que alguien no haya abusado de una lista de números de teléfono de WhatsApp no significa que no se pueda hacer.
Excepto que WhatsApp les asegura una cosa a sus usuarios, pero en la práctica puede estar haciendo otra cosa, lo que probablemente sea una violación de la protección de datos.
En respuesta a una pregunta de un representante de BASIC, WhatsApp respondió que la empresa está trabajando para garantizar que la información que brinda sea transparente y comprensible.
¡Guía gratuita de LinkedIn!
Suscríbase ahora a nuestro boletín semanal compacto de BT. Como agradecimiento, te damos nuestra guía de LinkedIn.
No estamos de acuerdo con la decisión de transparencia que propusimos a la gente en 2022 y las sanciones son completamente desproporcionadas.
WhatsApp apeló la multa. Pero si la decisión sigue siendo la misma, WhatsApp tendrá que cambiar sus métodos de manera oportuna. Después de todo, cualquier persona que use WhatsApp ya puede restringir la práctica de emparejar contactos e impedir el acceso a su lista de contactos en la configuración de su aplicación.
Por cierto, las declaraciones de la DPC se refieren exclusivamente al servicio general de WhatsApp y no a Business WhatsApp.
También interesante: