¡Buenas, malditos y malditas! ¿Cómo sigue todo? Nosotros seguimos respondiendo a las preguntas que nos hacéis llegar y, como cada martes, aquí está el consultorio tecnológico en el que tratamos de darles respuestas. Hoy tratamos un tema sobre el que nos habéis preguntado mucho: la privacidad de nuestros mensajes privados en redes sociales. ¿Quién tiene acceso a ellos? ¿Las plataformas los pueden leer? ¿Un empleado de una red social puede consultar lo que me escribo con mis amigos? ¡Vamos a verlo!
¿Que os quedan más dudas? Hacédnoslas llegar y las trataremos en los siguientes consultorios. Ya sabéis que podéis hacerlo a través de este formulario, mandando un correo a [email protected], con un mensaje a nuestro Facebook, a nuestro Twitter o a nuestro chatbot de WhatsApp (+34 644 229 319).
¿Puede tener un empleado de una red social acceso a nuestros mensajes privados?
Una de las cuestiones que nos habéis planteado es hasta qué punto los empleados de una de estas plataformas puede acceder al contenido de nuestros mensajes. La respuesta siempre dependerá de la plataforma y de lo que haya especificado en sus términos y condiciones, esos documentos, normalmente largos, que aceptamos cuando creamos nuestro perfil.
“Lo normal es que empleados de este tipo de servicios puedan tener acceso a los datos y mensajes enviados, pero esto no significa que lo tengan todos ni todos por igual: un moderador podrá ver los mensajes que ha reportado un usuario, por ejemplo, pero no el resto”, explica Jorge Morell, abogado experto en derecho tecnológico y experto en términos y condiciones de las plataformas.
Aunque varía según de qué empresa hablemos, “esto se gestiona en las políticas de seguridad internas de cada una, estableciendo limitaciones a nivel de acceso, permisos, trazabilidad, limitaciones según el tipo de dato solicitado o el dispositivo usado para acceder, en función de si el acceso al dato es remoto o físico, etc.”, añade Morell.
¿Y qué dicen las políticas de uso de las principales plataformas sobre el intercambio de mensajes privados? Vamos a verlo con más detalle.
En el caso de Meta, propietaria de Facebook e Instagram, las políticas de uso son las mismas para ambas plataformas en cuanto a los mensajes directos. Tal y como refleja su documento, ambas redes sociales afirman recopilar “el contenido, las comunicaciones y otros datos que proporcionas cuando usas” sus productos. “Por ejemplo, cuando te registras para crear una cuenta, creas o compartes contenido y envías mensajes a otras personas o te comunicas con ellas”, especifica.
La compañía, a la hora del cierre de esta publicación, no ha hecho comentarios a Maldita.es acerca de esta cuestión.
Si nos vamos a Twitter, la política de uso de la red social es bastante parecida a la de Facebook e Instagram. Como recogen sus términos y condiciones, la plataforma afirma que cuando nos comuniquemos con otros usuarios pasará lo siguiente: ”Enviando o recibiendo mensajes directos, almacenaremos y procesaremos sus comunicaciones y la información relacionada con ellas”.
Eso sí, según Twitter, la red social “no accede, lee, ve o utiliza los mensajes directos”. “Pero como indicamos en nuestra Política de Privacidad, utilizamos herramientas automatizadas para escanear contenidos maliciosos, acortar enlaces a URLs de http://t.co, detectar spam, abusos e imágenes prohibidas, así como el uso de temas reportados”, agregan.
TikTok, por su parte, camina en el mismo sentido, pues la plataforma afirma que recaban “el contenido del mensaje y los metadatos asociados (por ejemplo, la hora de envío, recepción y/o lectura del mensaje, así como los participantes de la comunicación)”. Según su guía de seguridad, el fin de esta acción es “bloquear el spam, detectar actividades delictivas y proteger a nuestros usuarios”.
En sus guías y documentos para la seguridad y privacidad en TikTok, afirman que cuentan con un equipo de moderación tecnológico (automatizado) y humano. En el caso de que alguien denuncie a otro usuario por spam o acoso, el equipo de moderación humano podrá revisar, si así lo estiman oportuno, el contenido de las conversaciones para tomar (o no) acciones. De resto, un automatismo analiza los metadatos de los mensajes (quién lo envía, a qué hora, a quién se lo manda, etc.) para "prevenir el fraude y el spam".
Ninguna de estas plataformas ha implantado el cifrado de extremo a extremo en sus mensajes privados, el protocolo que utilizan aplicaciones como Signal o WhatsApp, y que sirve para que ninguna persona que no sea la emisora o la receptora, ni siquiera la empresa que gestiona la infraestructura, sea capaz de leer el contenido, como te explicamos en Maldita.es. Sólo Facebook e Instagram tienen en sus planes hacerlo, pero su llegada se ha retrasado en varias ocasiones y se espera que esté listo a lo largo de este año o en 2023.
No obstante, la abogada especialista en protección de datos Camino García recuerda que es “fundamental la aplicación de medidas que minimicen el nivel de acceso a los datos, como la que recoge el artículo 4.5 del RGPD, con la seudonimización, que permite el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional”.
Ninguna de las compañías entra en detalles sobre cómo funciona el procedimiento en el caso de que haya que revisar alguna comunicación privada. “Siempre se suele comentar de forma muy genérica, como se ve en sus términos y condiciones, utilizando verbos con significado amplio sin entrar a lo concreto”, comenta Morell. Pero no se termina por especificar quién tiene acceso a qué y bajo qué supuestos.
Pero, por ejemplo, cuando en julio de 2020 algunas cuentas verificadas de Twitter fueron usadas por ciberdelincuentes para publicar tuits sobre donaciones en bitcoin, se supo que había ocurrido porque los estafadores habían logrado realizar un ataque de ingeniería social (una técnica con la que buscan obtener información engañando a los empleados) a determinados empleados de la compañía, que tenían acceso a un panel en el que podían realizar y consultar determinadas acciones de perfiles de Twitter.
¿Puede la Policía acceder a los mensajes privados de una red social sin autorización judicial? *
En las películas estamos acostumbrados a ver a policías geolocalizando rápidamente a presuntos criminales, pinchando sus teléfonos y accediendo a sus conversaciones, todo en tiempo récord. En Maldita.es ya os contamos cómo se localizaba la posición exacta de un teléfono y qué condiciones tienen que darse para que los cuerpos de seguridad pongan en marcha esos procesos. Esta vez, nos centramos en el contenido de los mensajes que enviamos, por ejemplo, a través de las redes sociales. También, a las comunicaciones en plataformas de mensajería como WhatsApp. ¿Podría acceder a ellos la Policía si, por ejemplo, nos paran por la calle y nos solicitan que los enseñemos? ¿Necesita algún tipo de autorización judicial?
Sergio Carrasco, abogado e ingeniero de telecomunicaciones, explica que, “en el fondo, lo que seguimos teniendo en estos casos son comunicaciones, aunque cambie el canal por el que se realicen, por lo que se requerirá autorización judicial para poder acceder a las mismas”.
Estas comunicaciones vienen protegidas por la Constitución, que en su artículo 18.3 afirma que “se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial”. En este caso entrarían también las plataformas a través de las cuales nos comunicamos de forma privada.
Esto significa que, en cualquier caso, para que la Policía pueda consultar el contenido de las conversaciones se necesita siempre una autorización emitida por un juez, como apunta el experto.
Existen diferencias en cuanto al acceso al contenido según hablemos de comunicaciones cifradas de extremo a extremo o de las que no lo están. Por ejemplo, WhatsApp es una aplicación de mensajería rápida que cuenta con cifrado de extremo a extremo. Como te explicamos en este artículo, que se utilice este protocolo implica que nadie, ni siquiera la plataforma empleada para comunicarse, puede acceder al contenido de los mensajes, salvo quien los envía y quien los recibe. Los mensajes directos de redes sociales como Facebook Messenger, TikTok o Twitter no están cifrados con esta técnica, de modo que son accesibles para las plataformas. Esto es algo que, además, se menciona en sus políticas de privacidad y sus términos del servicio.
Por ello, Carrasco menciona el artículo 588 ter e. de la Ley de Enjuiciamiento Criminal, en la que se hace referencia al deber de colaboración de “todos los prestadores de servicios de telecomunicaciones, de acceso a una red de telecomunicaciones o de servicios de la sociedad de la información”.
¿De qué hablamos si nos referimos a “prestadores de servicios”? “Con servicios de la sociedad de la información, se abarca prácticamente todo lo que hay en Internet, desde blogs a redes sociales como Facebook, pero también a prestadores de acceso”, explica Carrasco. Este “deber de colaboración” implica que estas plataformas estarían obligadas a entregar a la justicia las comunicaciones requeridas en el caso en el que se solicitase mediante una orden.
Eso sí, si hablamos de comunicaciones cifradas de punto a punto, como WhatsApp o Signal, la plataforma no podría asegurar ese acceso a los mensajes porque, según exponen, tampoco tienen manera de acceder a ellos y son solo el emisor y el receptor quienes disponen de las claves para descifrar estas comunicaciones.
El acceso a mensajes en este tipo de plataformas requiere acceso físico a los dispositivos para consultar los mensajes y, como en el resto de casos, también dependería de una autorización judicial. Así lo explicó al periódico ABC Ángel Flores Alviz, teniente de la Guardia Civil en la Unidad Técnica de la Policía Judicial: “Las fuerzas policiales necesitan, obligatoriamente, una orden judicial para poder revisar el contenido de las conversaciones de WhatsApp de los implicados en una investigación. Sin esta orden, nos es imposible obtener dichas conversaciones”.
En cualquier caso, según el artículo 588 ter de la Ley de Enjuiciamiento Criminal, la consulta de mensajes privados por parte de los cuerpos de seguridad no sólo está sujeta a una autorización judicial, sino a una serie de supuestos específicos: en el caso de “delitos dolosos castigados con pena con límite máximo de, al menos, tres años de prisión, delitos cometidos en el seno de un grupo u organización criminal, delitos de terrorismo o delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología de la información o la comunicación o servicio de comunicación”.
¿Aplica la misma normativa en las redes sociales que en las aplicaciones de mensajería?
Cada plataforma tiene sus propias normas y guías que regulan el uso que podemos dar los usuarios, pero también tenemos que tener en cuenta la legislación vigente. Por eso, nos habéis preguntado si las redes sociales y las aplicaciones de mensajería tienen la misma consideración a ojos de la normativa jurídica.
“A nivel jurídico, respecto a los mensajes privados, no existe una diferencia entre redes sociales y aplicaciones de mensajería”, comienza explicando Verónica Alarcón, abogada especializada en derechos en la red. Es decir, que en una primera aproximación normativa, no existe ninguna diferencia en lo que corresponde a aplicaciones como WhatsApp, Telegram o Signal frente a redes sociales como Facebook, Twitter o Instagram.
Como comenta a Maldita.es la experta, “el punto de partida a tener en cuenta es la normativa que resulte de aplicación, como la Constitución Española, la normativa de protección de datos o el Derecho Penal, y una vez respetado este marco, descendemos a sus términos [de la aplicación o red], que no pueden contrariar lo que diga la ley”. Esto implica que las condiciones de cada plataforma tienen que cumplir la legislación española y europea y a partir de ese punto, desarrollar sus propias normas, como la política de privacidad y los términos de uso.
En ningún caso las normas de uso de Facebook, Twitter o TikTok, por ejemplo, pueden contravenir la normativa vigente sobre las comunicaciones privadas. Dentro de estos márgenes, cada plataforma desarrolla las condiciones que rigen el servicio.
Jorge Morell, abogado experto en protección de datos, compara esta situación con las operadoras de telefonía o con empresas de mensajería: “Sucede algo similar, prestan el servicio y dan la infraestructura para facilitar la comunicación, pero ninguno está activamente monitorizando lo que hablamos o leyendo las cartas que escribimos”.
Otra cuestión son los metadatos, los datos que reflejan cómo ha sido una conversación o un intercambio de mensajes. “Si permiten identificar a alguien, también sería un dato personal, por lo que normalmente suelen ir cifrados y automatizados, para evitar que de entrada sean analizados por personas, y a ser posible de forma agregada”, añade Morell.
Entonces, ¿cómo encajan los términos y condiciones de las redes sociales en esta materia? La clave se encuentra en que el contenido de los mensajes sólo es revisado cuando uno de los usuarios implicados utiliza el sistema de denuncia o reporte de la plataforma. “Nuestra normativa impide que estas empresas puedan acceder al contenido de las comunicaciones de forma libre, nunca de manera proactiva sino ante denuncia de la persona interesada”, especifica Alarcón.
En línea con la comparación con las operadoras de telefonía, Morell añade que “cualquier servicio de comunicación no sabe lo que hablas o escribes, y les interesa que esto sea así legalmente ya que de otro modo sería mucho más costoso técnicamente mantener algo así”. Pero la cuestión clave en materia legal, según el abogado, es que “les haría responsables de todo lo ilícito que descubrieran y no comunicaran, y en el fondo ese tipo de servicio sería ilegal en muchos países”.
No obstante, los expertos consultados por Maldita.es coinciden en lo mismo: una cosa es la teoría y otra llevarlo a cabo. Morell apunta a que “este sería el encaje para gestionar estos servicios sin chocar con esos derechos (accediendo sólo en el caso de una denuncia por parte de un usuario), pero ejecutar esto bien en la práctica no es tan sencillo”.
Lo más normal, no obstante, es que los mecanismos se activen cuando un usuario denuncia una conversación con otro usuario, de forma que el equipo de moderación de la plataforma pueda revisar estas posibles infracciones. “Ahí sí tienen la obligación legal de atender esas sospechas y confirmar si es el caso o no, y para ello podrían necesitar consultar parte (mayor o menor) de lo que has hablado o escrito: si se confirma la sospecha, entonces ya deben comunicarlo a policía, juez o quien corresponda según el caso”, finaliza el abogado.
Antes de iros...
No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.
Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:
* Hemos actualizado esta pieza el 30/03/2022 para añadir la pregunta "¿Puede la Policía acceder a nuestros mensajes privados de una red social sin autorización judicial?".