WhatsApp y el cifrado “end-to-end”

Por Álvaro Melero.

Barcelona.

La semana pasada, como cada mañana y por costumbre, tras apagar el despertador y revisar las cuatro aplicaciones esenciales y vitales del móvil, muchos de nosotros nos levantamos con un mensaje en la ventana de chat de la aplicación de mensajería instantánea WhatsApp.

Para sorpresa de muchos, la aplicación de mensajería instantánea conocida mundialmente, incorporó un aviso en las ventanas de conversación de los usuarios, acerca de la nueva encriptación de los mensajes que se emiten y reciben a través de la misma.

Este cifrado, conocido como “end-to-end” mejora sustancialmente la seguridad de las comunicaciones ya que se realiza desde el origen (terminal emisor) hasta el destinatario (terminal receptor) evitando que los servidores de WhatsApp accedan o puedan conocerle contenido de las conversaciones.

Según los responsables de la aplicación, propiedad de Facebook, ni ellos mismos podrían descifrar el contenido enviado a través de su aplicación, gracias a un protocolo de encriptación de datos. Esta idea surgió a raíz de la problemática entre el FBI y Apple, tras un altercado en Estados Unidos en el que se reclamaba el desbloqueo de un terminal telefónico para poder tener acceso a su contenido.

¿Qué aspectos legales merece el encriptación de datos? Por un lado, debemos saber que prima la seguridad y privacidad de los usuarios. Debemos saber que el cifrado de datos no sólo es recomendable para ciertos casos sino que, en ocasiones es obligado por ley para algunas empresas. Desde la Agencia Española de Protección de Datos (“AEPD“) se forma a empresas para proceder al cifrado de sus datos.

WhatsApp cifrado

El Gabinete Jurídico de la AEPD recuerda, en su informe 494/2009, cuál es la importancia del cifrado correcto, de manera que sea legal y suficiente: “La seguridad en el intercambio de información de carácter personal en la que hay que adoptar medidas de seguridad de nivel alto, en particular los requisitos de cifrado de datos, no es un tema baladí, ni un mero trámite administrativo, ni una cuestión de comodidad. Es el medio técnico por el cual se garantiza la protección de un derecho fundamental y al que hay que dedicar el tiempo y los recursos que sean necesarios para su correcta implementación“.

Por otro lado, un gran numero de empresas deben cifrar la información de sus ficheros tal y como prevé el Reglamento de desarrollo de la Ley Orgánica de protección de datos de carácter personal. Teniendo en cuenta que el objeto de la Ley Orgánica de protección de datos de carácter personal es “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”, tal y como prescribe su primer artículo.

Cierto es que, el principal efecto de esta norma es limitar el uso de la informática “para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”, artículo 18 de la Constitución Española (“CE“). Uno de los pilares de la normativa de protección de datos es el asentamiento de medidas de seguridad para alcanzar el objeto indicado.

Desde una perspectiva de seguridad e inviolabilidad de la información personal reconocida como derecho fundamental en la CE, todo parece encajar. Pero, entre la inviolabilidad a la información personal y la seguridad nacional de un territorio, ¿qué derecho prevalece?

La Ley de Enjuiciamiento Criminal regula ciertos aspectos del desarrollo legislativo del derecho al secreto de las comunicaciones en sus artículos 579 y ss. El respeto de las comunicaciones implica la protección de cualquier forma de comunicación individual, incluyendo los avances tecnológicos. El concepto de “secreto” que aparece en el artículo 18.3 CE no cubre solo el contenido de la comunicación sino también otros extremos de la misma, como por ejemplo la identidad subjetiva de los interlocutores.

Luego, en el mismo art. 55.2 CE, relativo a la suspensión de derechos, se dice que una ley orgánica podrá determinar la forma y los casos en los que, de forma individual y con la necesaria intervención judicial y el adecuado control parlamentario, los derechos reconocidos en los art. 17, apartado 2, y 18, apartados 2 y 3, pueden ser suspendidos para personas determinadas, en relación con las investigaciones correspondientes a la actuación de bandas armadas o elementos terroristas.

Al igual que en muchas ocasiones, nos encontramos en un terreno pantanoso, del que no podemos extraer una respuesta única y genérica. Pues la confrontación de derechos fundamentales y de seguridad nacional, comportan la necesidad de realizar un análisis minucioso del caso concreto, analizando de manera exhaustiva los elementos basilares de cada caso y ponderando cada uno de ellos para poder deliberar si procede o no el acceso a los datos encriptados de un usuario.