Un paseo por los permisos de aplicaciones y sitios

La verdad es que resulta verdaderamente increíble saber ( y lo que es más, poder comprobar) la cantidad de información personal de nuestros smartphones (casi toda)  a la que las aplicaciones acceden a diario sin que parezca importarnos lo más mínimo.

Seguro que no dejaríamos  que un desconocido leyera nuestros mensajes o mirase los contactos que tenemos en nuestra agenda y, sin embargo, damos nuestro permiso a que las apps lo hagan. Usando la fórmula de «Esta aplicación puede acceder a» se aseguran el permiso de los clientes de Android cada vez que descargamos una aplicación desde Google Play. Conste que la única forma de descargar una «app» es aceptando estos permisos, sean cuales sean, y la mayoría lo hacemos sin pararnos a leer.

Este sistema, aceptado por todos como el único posible, cada vez está siendo más cuestionado por particulares y grupos que ven en él un abuso. Un estudio de la Universidad de Georgetown ha concluido que las descargas actuales no protegen al usuario; solo a los desarrolladores. Tras analizar los permisos de uso de las 1.300 aplicaciones más importantes del «mercado» de Google, los investigadores valoraron que las «apps» «no informan de manera adecuada sobre el uso que harán con la información que almacenan».

Claro que no todas son iguales, existiendo permisos tan variados como el acceso a tu localización exacta, a que puedan enviar mensajes y realizar llamadas sin la mediación del usuario o incluso cambiar las contraseñas.

Un ejemplo clásico de cómo las aplicaciones de Android exigen autorizaciones muchas veces incomprensibles es la «Linterna». Esta «app» necesita, si alguien la quiere instalar, acceder al «Historial de aplicaciones y dispositivo» (ver información sobre la actividad, las aplicaciones que se están ejecutando, el historial de navegación y los marcadores) a las «Fotos/archivos multimedia/archivos», a la «Cámara/micrófono», a la «Información sobre la conexión Wi-Fi» (ver si está habilitada la conexión Wi-Fi y los nombres de los dispositivos conectados)» y al «ID de dispositivo y datos de llamada». Y todo para un aplicación sencilla como es la linterna.

En el estudio categorizaron las aplicaciones según qué tipo de datos pueden recopilar: aquellas que acceden a información que no sea personal, las que acceden a información del usuario pero no son datos que le hagan identificable y aquellas que pueden ver la información privada que identifica al propietario (la gran mayoría). La conclusión para el Pew Research Center, que ha analizado los datos de la Universidad de Georgetown, es clara: las aplicaciones recopilan demasiada información de los usuarios a partir de una variedad de permisos demasiado amplia.

En Europa y Estados Unidos ya se han puesto manos a la obra para proteger la intimidad de los usuarios, si es que se pudiera ver comprometida. En España, la Agencia Española de Protección de Datos (AEPD) está «examinando las condiciones de privacidad que existen en torno a las aplicaciones móviles más populares». Se trata de un estudio cuyas conclusiones se conocerán en Otoño y en el que están trabajando conjuntamente con autoridades italianas, inglesas, francesas y alemanas.

Pero aquellos que no quieran esperar pueden utilizar sus propios recursos para proteger su privacidad. Hay aplicaciones que permiten cercenar los permisos de uso de otras aplicaciones. Un ejemplo es  App Ops, que puede controlar de forma individualizada los permisos que usan las aplicaciones instaladas en Android.

De lo que no cabe ninguna duda es que la protección de la información personal  se ha convertido en una preocupación de los usuarios, cada vez más concienciados de los perjuicios a los que se verían expuestos si alguien malintencionado accediera a sus datos. 

¿Hay delito en el control del email de los empleados?

El 16 de junio de 2014 la Sala de lo Penal del Tribunal Supremo ha dictó una importantísima sentencia en la que analiza la relevancia penal del control empresarial sobre el email de los empleados.

Esta sentencia completa la doctrina elaborada desde la Sala de lo Social del TS y confirmada por el Tribunal Constitucional al añadir algunos  puntos con una extraordinaria relevancia:

- El artículo 18.3 de la Constitución, que garantiza el secreto de las comunicaciones, no exceptúa dicha garantía por la titularidad del medio, ni por su carácter empresarial, ni por el momento en que sucede la comunicación.
- Tampoco permite excepciones a la exigencia de autorización judicial para la intervención de los medios de comunicación, a diferencia de la entrada en el domicilio (18.2 CE).
- Ni siquiera contempla la posibilidad de que el interesado renuncie a esta libertad (lo que sí se permite en el caso de la entrada en domicilio).
- Además, la interceptación afecta a la libertad del tercero con quien se comunica el empleado, que puede ser ajeno a la relación laboral.

La conclusión es clara: es imprescindible contar con la autorización judicial para intervenir en un medio de comunicación. Sin ella, viola el secreto de las comunicaciones, que es constitutivo de delito.

No obstante, el Tribunal Supremo matiza que el art. 18.3 de la Constitución no protege los mensajes, sino los medios de comunicación propiamente dichos. Por ello, según la sentencia, las garantías del 18.3 CE no limitan ni condicionan la actividad de control empresarial que consista en analizar y obtener pruebas de:

- Los mensajes "una vez recibidos y abiertos por su destinatario".
- Los datos de tráfico (circunstancias de tiempo, líneas utilizadas, duración de la comunicación, etc.).
- El uso del ordenador para navegar por Internet (páginas visitadas, tiempo consumido navegando, etc.).

Es decir, según esta sentencia, no se precisa de autorización judicial para investigar los archivos en el disco duro del ordenador del empleado, o los mensajes remitidos o leídos en las bandejas de correo electrónico (normalmente en el servidor), ni los datos de tráfico de las comunicaciones. No obstante, aclara la sentencia, en estos casos resultarán aplicables las garantías propias de la protección de datos y de la intimidad de las personas.

Quiere llamarse la atención respecto de la puntualización que hace la sentencia al afirmar que los mensajes recibidos deben estar "abiertos por su destinatario". La sentencia considera que, antes de su apertura, el mensaje está todavía en curso a su destinatario y, por ello, protegido por el secreto de las comunicaciones, igual que las cartas en el buzón.

En consecuencia, la intervención de un email en la bandeja de mensajes recibidos antes de que lo haya abierto el destinatario constituye un delito contra el secreto de las comunicaciones, salvo que un juez lo hubiera autorizado.

En definitiva, la sentencia perfila los límites aplicables a la capacidad de control del empresario al señalar, en primer lugar, cuándo podría incurrirse en un delito de violación del secreto de las comunicaciones y, en segundo lugar, al consolidar desde la perspectiva penal la doctrina social que permite a los empresarios controlar la actividad de sus empleados investigando incluso en los correos electrónicos y el uso de los dispositivos de comunicación (sentencias de la Sala de lo Social del Tribunal Supremo de 26-09-07, 8-03-11, 6-10-11 y del Tribunal Constitucional 241/2012 y 170/2013).

Sin embargo, a pesar de la claridad de esta sentencia, el tema sigue hasta la fecha sin resolverse definitivamente. En efecto, no es posible ignorar la corriente doctrinal elaborada por el Tribunal Constitucional (Sentencia 142/2012 FJ 3) que, siguiendo la Sentencia del Tribunal Europeo de Derechos Humanos de 3-04-07, Caso Copland vs. Reino Unido, extiende el concepto de medios de comunicación y, por tanto, el ámbito de protección del 18.3 CE, no solo a los mensajes en curso y no abiertos, sino a todos los mensajes y a los datos de tráfico.

En aplicación de esta interpretación constitucional, la investigación de cualquier mensaje y de los datos de su envío o recepción, así como los relativos a las llamadas sin una autorización judicial podría entenderse constitutivo de delito.

La privacidad en Internet

Lo primero que, en mi opinión, debemos intentar aclarar es qué se entiende por privacidad y que viene definido como "el nivel de protección de que disponen todos los datos e informaciones que una persona introduce en una red social, en cuanto al grado de accesibilidad a ellos que otros usuarios o internautas pueden tener". La mayoría de comunidades sociales y plataformas 2.0 ofrecen distintas opciones relativas a esta función, mediante las cuales, nos dicen, puede configurarse la privacidad general de la cuenta, dándole así al titular de la misma el derecho a decidir qué es lo que quiere compartir con el resto de usuarios de la red social o de Internet, junto con  la posibilidad de modificar estos parámetros de seguridad en cualquier momento. Es, por  tanto,  necesario  ser precavido, con la cantidad de información que se pone a disposición de los demás, habilitando  el acceso a la misma sólo a los usuarios que consideramos seguros.

Otro tema es la protección de datos por parte de  los administradores y gestores de cada red y que escapa completamente al control de los usuarios a los que no nos queda más remedio que confiar en la veracidad de las garantías y exigir que esta  protección de datos se respete de verdad.

Me gustaría también compartir con vosotros estos links que considero de interés:

http://www.osi.es/es/tu-informacion-personal

http://www.abc.es/tecnologia/redes/20150128/abci-proteccion-datos-personas-wearables-201501271726.html

http://internacional.elpais.com/internacional/2015/10/27/actualidad/1445950130_429095.html