MENÚ
Una de las cuestiones que nos habéis planteado es hasta qué punto los empleados de una de estas plataformas puede acceder al contenido de nuestros mensajes. La respuesta siempre dependerá de la plataforma y de lo que haya especificado en sus términos y condiciones, esos documentos, normalmente largos, que aceptamos cuando creamos nuestro perfil.
“Lo normal es que empleados de este tipo de servicios puedan tener acceso a los datos y mensajes enviados, pero esto no significa que lo tengan todos ni todos por igual: un moderador podrá ver los mensajes que ha reportado un usuario, por ejemplo, pero no el resto”, explica Jorge Morell, abogado experto en derecho tecnológico y experto en términos y condiciones de las plataformas.
Aunque varía según de qué empresa hablemos, “esto se gestiona en las políticas de seguridad internas de cada una, estableciendo limitaciones a nivel de acceso, permisos, trazabilidad, limitaciones según el tipo de dato solicitado o el dispositivo usado para acceder, en función de si el acceso al dato es remoto o físico, etc.”, añade Morell.
¿Y qué dicen las políticas de uso de las principales plataformas sobre el intercambio de mensajes privados? Vamos a verlo con más detalle.
Los términos y condiciones de cada una indican qué datos recopilan de nuestras comunicaciones
En el caso de Meta, propietaria de Facebook e Instagram, las políticas de uso son las mismas para ambas plataformas en cuanto a los mensajes directos. Tal y como refleja su documento, ambas redes sociales afirman recopilar “el contenido, las comunicaciones y otros datos que proporcionas cuando usas” sus productos. “Por ejemplo, cuando te registras para crear una cuenta, creas o compartes contenido y envías mensajes a otras personas o te comunicas con ellas”, especifica.
La compañía, a la hora del cierre de esta publicación, no ha hecho comentarios a Maldita.es acerca de esta cuestión.
Si nos vamos a Twitter, la política de uso de la red social es bastante parecida a la de Facebook e Instagram. Como recogen sus términos y condiciones, la plataforma afirma que cuando nos comuniquemos con otros usuarios pasará lo siguiente: ”Enviando o recibiendo mensajes directos, almacenaremos y procesaremos sus comunicaciones y la información relacionada con ellas”.
Eso sí, según Twitter, la red social “no accede, lee, ve o utiliza los mensajes directos”. “Pero como indicamos en nuestra Política de Privacidad, utilizamos herramientas automatizadas para escanear contenidos maliciosos, acortar enlaces a URLs de http://t.co, detectar spam, abusos e imágenes prohibidas, así como el uso de temas reportados”, agregan.
TikTok, por su parte, camina en el mismo sentido, pues la plataforma afirma que recaban “el contenido del mensaje y los metadatos asociados (por ejemplo, la hora de envío, recepción y/o lectura del mensaje, así como los participantes de la comunicación)”. Según su guía de seguridad, el fin de esta acción es “bloquear el spam, detectar actividades delictivas y proteger a nuestros usuarios”.
En sus guías y documentos para la seguridad y privacidad en TikTok, afirman que cuentan con un equipo de moderación tecnológico (automatizado) y humano. En el caso de que alguien denuncie a otro usuario por spam o acoso, el equipo de moderación humano podrá revisar, si así lo estiman oportuno, el contenido de las conversaciones para tomar (o no) acciones. De resto, un automatismo analiza los metadatos de los mensajes (quién lo envía, a qué hora, a quién se lo manda, etc.) para "prevenir el fraude y el spam".
El cifrado de extremo a extremo no ha llegado a los mensajes privados de las redes sociales
Ninguna de estas plataformas ha implantado el cifrado de extremo a extremo en sus mensajes privados, el protocolo que utilizan aplicaciones como Signal o WhatsApp, y que sirve para que ninguna persona que no sea la emisora o la receptora, ni siquiera la empresa que gestiona la infraestructura, sea capaz de leer el contenido, como te explicamos en Maldita.es. Sólo Facebook e Instagram tienen en sus planes hacerlo, pero su llegada se ha retrasado en varias ocasiones y se espera que esté listo a lo largo de este año o en 2023.
No obstante, la abogada especialista en protección de datos Camino García recuerda que es “fundamental la aplicación de medidas que minimicen el nivel de acceso a los datos, como la que recoge el artículo 4.5 del RGPD, con la seudonimización, que permite el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional”.
Ninguna de las compañías entra en detalles sobre cómo funciona el procedimiento en el caso de que haya que revisar alguna comunicación privada. “Siempre se suele comentar de forma muy genérica, como se ve en sus términos y condiciones, utilizando verbos con significado amplio sin entrar a lo concreto”, comenta Morell. Pero no se termina por especificar quién tiene acceso a qué y bajo qué supuestos.
Pero, por ejemplo, cuando en julio de 2020 algunas cuentas verificadas de Twitter fueron usadas por ciberdelincuentes para publicar tuits sobre donaciones en bitcoin, se supo que había ocurrido porque los estafadores habían logrado realizar un ataque de ingeniería social (una técnica con la que buscan obtener información engañando a los empleados) a determinados empleados de la compañía, que tenían acceso a un panel en el que podían realizar y consultar determinadas acciones de perfiles de Twitter.
