• Home
  • Derecho Tecnológico
    • Propiedad Intelectual
    • Protección de Datos
    • Responsabilidad
  • Nuevas Tecnologías
  • Derecho público
  • Podcast
  • Contacto
  • home
  • Protección de Datos
El Consell d’Eivissa y las consultas ciudadanas con WhatsApp

El Consell d’Eivissa y las consultas ciudadanas con WhatsApp

10 febrero, 2016 Sergio Carrasco Mayans 0

El Consell Insular d’Eivissa ha iniciado una consulta ciudadana para conocer la posición de la ciudadanía respecto al proyecto de una carretera. Esta vez se ha decidido la realización simultánea de una encuesta a pié de calle y una consulta telemática para permitir una mayor comodidad y la máxima participación posible.

Al igual que sucede en otros supuestos, especialmente los relacionados con votaciones a través de medios electrónicos, surgen cuestiones importantes relativas a la anonimización de los datos y las garantías correspondientes en materia de protección de datos. A mi juicio, se han producido serias deficiencias en el proceso escogido, que puede poner en duda los resultados de la consulta, en particular por lo que corresponde a cómo se identifica a los ciudadanos de Ibiza.

De acuerdo con la directora insular de Transparencia y Participación, Gloria Santiago, se ha optado en lo que respecta al procedimiento concreto de identificación

por el sistema más garantista que hemos encontrado, estudiado por los técnicos de la casa, y que nos permite cumplir con toda la legislación de protección de datos y también evitar que se validen votos hechos a través de pseudónimo o con identidades falsas

La pregunta es si realmente se cumple con la protección de datos, y si el sistema permitirá evitar estas votaciones fraudulentas en los términos que se indican desde la institución.

1. La empresa que presta el servicio

La votación telemática para esta consulta se puede realizar a través de esta dirección, un servicio prestado por Powervote SL. Los términos y condiciones generales de los servicios prestados a través de este dominio lo podemos encontrar en la sección correspondiente en español.

powervote

A diferencia de la versión en inglés de los términos y condiciones, no se especifican los datos del prestador del servicio en España. Se nos indican los datos del administrador de la página (La Générale Multimédia, situada en Francia), mientras que las Condiciones Generales de Venta hacen referencia a PowerVote SL, de la cual no se nos dan más datos.

La sección dedicada a las políticas de privacidad también brilla por su ausencia en la versión española (solo habiendo una sección dedicada a las cookies), mientras que en la edición inglesa sí que contamos con una política de privacidad completa, en la que se indica dónde ejercer los derechos ARCO. En la edición española dicha referencia aparece en los términos y condiciones generales

Vd. dispone de un derecho de acceso, de modificación, de rectificación y de supresión con respeto a los datos colectados en esta página web, según las condiciones previstas por la ley n°78-17 de 06/01/1978 relativa a la informática, a los archivos y a las libertades.

Esta referencia llama la atención si la ponemos en relación con el apartado dedicado a derecho aplicable y jurisdicción

A/ Rige el derecho español

B/ El tribunal competente para todos los litigios en relación con los contratos de suministro es el correspondiente al domicilio de PowerVote, SL. Sin embargo PowerVote, SL tiene derecho a apelar al tribunal competente en el país del COMPRADOR.

Por lo tanto, nos encontramos con un servicio prestado por PowerVote SL en el fondo, sin que se me faciliten todos los datos relativos a dicha entidad (al contrario de lo que sucede con, por ejemplo, PowerVote UK), y en la que nos remiten para el ejercicio de los derechos contemplados por la LOPD al siguiente mecanismo

Para ejercerla, envíe un correo recomendado a:

Administrador de la página:
La générale multimédia
33 rue de Neuilly 92582 Clichy cedex (Francia)

Todo lo anterior lo obtenemos en el dominio principal del prestador de este servicio, pero como veremos en la sección dedicada al proceso de información y consulta no aparecerá mención alguna al respecto.

2. La sección dedicada a la consulta

El proceso de consulta sobre el proyecto de la carretera de Santa Eulària des Riu cuenta con un subdominio dedicado en este servicio, a través del cual podemos consultar la información sobre el proyecto, recibir información sobre cómo facilitar la documentación adecuada para identificarnos, y realizar nuestro voto.

consell

En el apartado de la Documentación se ha añadido una cláusula sobre protección de datos con la siguiente redacción

Powervote SL garantiza el total anonimato en la votación y el cumplimiento de la legislación vigente en materia de protección de datos. La identificación proporcionada en los datos cedidos a Powervote SL para este solo uso, únicamente se utilizará para comprobar que cumplís los requisitos para poder votar. Powervote SL destruirá estos datos al concluir el proceso de consulta y no se utilizarán para ninguno otro uso posterior. El Consell Insular d’Eivissa únicamente dispondrá de datos anonimizados y de datos estadísticos sobre la consulta, en ningún caso dispondrá de datos personales protegidos por la LOPD.

Con el envío de la documentación se está dando el consentimiento expreso para la cesión temporal de estos datos a Powervote SL con el fin de utilizarlas por una única vez en la consulta sobre el proyecto de la carretera.

Por lo tanto, y antes de entrar en otros aspectos, el apartado dedicado a la protección de datos habla de las garantías ofrecidas por Powervote SL (de la que no contábamos con todos los datos), y sin que se me indique nada al respecto de cómo ejercer mis derechos ante quien está tratando los datos (las referencias a la política de privacidad solo se encuentra en la web raíz de la empresa, desapareciendo el pie de página en el caso de este tipo de aplicaciones). Por otro lado, garantiza el cumplimiento vigente en materia de protección de datos pese a que (como veremos) es imposible su garantía plena dadas las herramientas que utiliza.

2. Usando WhatsApp

El uso de WhatsApp para permitir la identificación de ciudadanos tiene su base en la comodidad y la gran implantación con que cuenta este servicio, superando los 900 millones de usuarios. Pero la comodidad no debe evitar el cumplimiento íntegro de las normas.

Para ello debemos analizar en qué condiciones se presta el servicio por WhatsApp, y el uso concreto que le vamos a dar.

whatsapp

En el apartado de Documentación se establece el procedimiento para identificar a las personas que participarán en el procedimiento, y en particular su condición de ciudadano de Ibiza.

Para validar el cumplimiento de los requisitos y ser registrados, tenéis que enviar por correo o por WhatsApp la foto o el escaneo de un documento de identidad con fotografía (DNI, NIE o carné de conducir), y sólo en el supuesto de que este documento no refleje vuestra residencia en Ibiza, tendréis que enviar también copia de certificado de residencia.

Nada se contempla respecto al uso de certificados electrónicos u otros sistemas, sino que se obliga a los ciudadanos que quieran participar a enviar copias de dicha documentación a través de uno de los medios habilitados por la empresa que finalmente lleva a cabo la consulta.

Dejando de lado el uso del correo electrónico propio (donde habría que ver además dónde se encuentra el servidor que les está prestando dicho servicio), el apartado más preocupante es el de utilizar WhatsApp.

Las condiciones de WhatsApp no lo hacen indicado para este tipo de usos. Si leemos los términos y condiciones de la aplicación podemos encontrar que

  1. Solo se permite un uso personal del servicio, cuando queda claro que la cuenta destinataria no es personal
  2. Los servidores que prestan el servicio de WhatsApp se encuentran en Estados Unidos.

De hecho, y respecto a esta última característica, podemos encontrar la siguiente mención expresa para los usuarios de Europa

If you are a user accessing the WhatsApp Site and Service from the European Union, Asia, or any other region with laws or regulations governing personal data collection, use, and disclosure, that differ from United States laws, please be advised that through your continued use of the WhatsApp Site and Service, which are governed by California law, this Privacy Policy, and our Terms of Service, you are transferring your personal information to the United States and you expressly consent to that transfer and consent to be governed by California law for these purposes.

Por lo tanto, nos encontramos con un uso que no solo vulnera los actuales términos de uso de la aplicación, sino que implica que los DNIs y certificados de residencia sean tratados por una empresa en Estados Unidos. Este territorio no plantea garantías equivalentes a las europeas, razón por la cual se acabó anulando el acuerdo de Safe Harbor.

En conclusión, esta transferencia internacional de datos supone que Powervote no puede garantizar el cumplimiento de la normativa de protección de datos, y que el Consell ha permitido que los datos de las personas participantes puedan llegar a estar en riesgo. Esta circunstancia es aún más importante si cabe dada la naturaleza de la documentación aportada.

De hecho, podemos recordar el informe de la Agencia Catalana de Protección de Datos sobre el uso de WhatsApp y Spotbros por parte de abogados, en la que se menciona cómo expresamente WhatsApp hace referencia a la imposibilidad de garantizar la seguridad de la información transmitida. Tratándose de un procedimiento impulsado desde una Administración Pública, el uso de esta herramienta no es admisible por cómodo que pueda parecer.

3. ¿Se garantiza realmente la identidad de los usuarios?

El uso de todo este mecanismo complejo para su identificación se ha justificado en base a garantizar que de esta forma se puede identificar a los usuarios y legitimar los votos obtenidos a partir de esta consulta. La pregunta es si en realidad este esfuerzo consigue este objetivo.

dni

En mi opinión, la respuesta a esta pregunta es (por desgracia) negativa. No, no resulta posible garantizar sin ninguna duda ni la identidad de la persona, ni su condición como ciudadano de Ibiza. Para ello me baso en los datos a que tendrá acceso la empresa que gestiona dicha consulta

foto o el escaneo de un documento de identidad con fotografía (DNI, NIE o carné de conducir), y sólo en el supuesto de que este documento no refleje vuestra residencia en Ibiza, tendréis que enviar también copia de certificado de residencia

Respecto al primer documento, la persona puede aportar diversa documentación, alguna incluyendo datos de residencia y otros que no. El problema surge que, al permitir fotografías, se hace mucho más sencillo su edición para el envío (los defectos en la imagen producidos por la misma fotografía, o que simulen serlo, dificultarían la detección de dicha modificación), pero existe además un sistema mucho más sencillo de modificar: utilizar la vía del certificado de residencia.

Permitiendo la identificación mediante carnet de conducir (que no incluye la dirección) podemos aportar un certificado de residencia, cuya edición resulta mucho más sencilla al no tratarse de un documento que incorpora imágenes de fondo que la dificulten como sí sucede en el DNI.

Toda esta problemática surge dado que, al no tener acceso a los datos existentes en los padrones de los diversos municipios (dado que si contaran con ello no requerirían de un certificado de residencia) no va a resultar posible comprobar la veracidad de la documentación aportada.

Por otro lado, tampoco podemos estar seguros de que quien realiza la actuación es la persona interesada. A causa de vulnerabilidades en diversos servicios, no resulta extraño encontrar documentación escaneada disponible en buscadores especializados, y que podría ser usada en este tipo de procedimientos (aunque es cierto que este supuesto es más improbable, sigue existiendo dicho riesgo).

La duda está en si alguien puede tener tanto interés en alterar los resultados de la consulta como para realizar las actuaciones anteriormente mencionadas (con las consecuencias jurídicas a que pueda haber lugar), pero la realidad es que estamos creando un procedimiento especialmente gravoso para la privacidad de los ciudadanos que simultáneamente no garantiza la integridad del cuerpo de personas que emitan la opinión. Además, tratándose de un proceso en el seno del cual ha surgido un conflicto, no puede dejar de tenerse en cuenta todas las posibilidades de alteración de resultados.

Este supuesto es de difícil solución en estos momentos, aunque si se generalizara el uso de las plataformas de intercambio de datos que el Govern Balear ofrece, y este gestionara las consultas a los diversos padrones municipales en los ayuntamientos, se podría regular un proceso de consulta con un sistema mucho más sencillo de identificación (como podría ser el obtener la contraseña de un solo uso utilizando los mismos datos que para obtener el certificado del padrón, o utilizando alguno de los certificados electrónicos utilizados en las sedes de las administraciones públicas). De esta forma además sería mucho más sencillo comprobar la residencia efectiva en uno de los municipios asignada a una determinada identidad.

De momento tenemos el problema de que no resulta posible saber tampoco si la persona continúa siendo residente en Ibiza (puede haber cambiado su condición con posterioridad a la emisión del DNI por ejemplo, uno de los supuestos conflictivos en su momento para la aplicación de subvenciones en viajes), dado que se remite un simple escaneo o fotografía.

Existen otros problemas, como puede ser que si realmente se procede a la destrucción de los datos como la empresa menciona (y no a su mera cancelación/bloqueo) no existirá forma de comprobar el uso fraudulento de identificaciones personales de terceros. Únicamente quedaría el resultado ya anonimizado en número.

4. ¿Se ha tenido en cuenta mi voto?

Otra deficiencia es que este sistema no me permite tener constancia sin lugar a dudas de la incorporación de mi voto a la plataforma. Esta solución es más compleja (y la menciono a título meramente informativo), porque aunque se me pueda enviar un correo de confirmación, no tengo forma de observar que se ha tenido en cuenta una vez se den los resultados.

Una solución sería la generación de un hash una vez emitido el voto que se incorporara a una blockchain con todos los votos emitidos, sin que almacenáramos la relación entre la persona concreta y su hash (dicha relación solo sería conocida por la persona que hubiera emitido el voto). Gracias a este mecanismo, cualquier persona que hubiera participado podría comprobar que su voto ha sido incorporado al proceso mientras que simultáneamente se garantizará la confidencialidad tanto del sentido del voto como de su identidad. El mecanismo actual (por lo que se menciona en la plataforma) utiliza un correo y una contraseña de un solo uso, pero nada impediría el uso de este tipo de sistema.

 

condicionesconselldatosibizaparticipacionprivacidadproteccionvotacionwhatsapp
SHARE THIS ARTICLE :
Tweet

SOBRE EL AUTOR

Sergio Carrasco Mayans
  • SOBRE MÍ
  • OTROS ARTÍCULOS
Sergio Carrasco Mayans es Ingeniero de Telecomunicaciones, Informático, politólogo y Licenciado en Derecho por la Universitat Oberta de Catalunya, especializado en Derecho de la Sociedad de la Información y en Derecho Público. Colegiado en el Ilustre Colegio de Abogados de las Illes Balears, actualmente ejerce como Tesorero en una entidad local de Ibiza, además de como profesor de cuestiones prácticas de responsabilidad civil para la UNED. Ha sido ponente en diversas jornadas sobre Administración pública electrónica, nuevas tecnologías así como derecho financiero y tributario.

El caso bajatetodo. Los artificios técnicos, comunicación pública y errores de concepto

13 noviembre, 2013 Sergio Carrasco Mayans 2

El Parlamento Europeo y la copia privada

25 abril, 2007 Sergio Carrasco Mayans 0

Sony y su preocupación por los derechos de autor

17 abril, 2007 Sergio Carrasco Mayans 0

Usuario de Bittorrent condenado definitivamente

21 mayo, 2007 Sergio Carrasco Mayans 0
SIGUIENTE

Ibiza Shore o no todo vale en marcas

POSTS RELACIONADOS

P2P y túneles SSH: Es posible saber qué tipo de datos estamos enviando?

8 septiembre, 2008 Sergio Carrasco Mayans 2

Google y las fotos tomadas en la vía pública

18 junio, 2007 Sergio Carrasco Mayans 0

Te gustaría que tu vecino supiera cuánto ganas?

6 junio, 2007 Sergio Carrasco Mayans 0

El número de la SS, requisito para activar el iPhone?

6 julio, 2007 Sergio Carrasco Mayans 5

No hay comentarios

Deja una respuesta Cancelar respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

  • Recent
  • Popular
  • Comments

Categorías

  • Derecho
  • Derecho público
  • Derecho y NNTT
  • Nuevas Tecnologías
  • Offtopic
  • Podcast
  • politica
  • Prestadores de Servicios
  • Propiedad Intelectual
  • Protección de Datos
  • Responsabilidad
  • Seguridad

Blog

En este blog podrás encontrar entradas tanto de materias relacionadas con Derecho como con tecnologías, así como de supuestos en que ambas se interrelacionan. Temas como Cifrado, Propiedad Intelectual, Protección de Datos, así como Derecho Público, y más.

Últimos post

  • El Consell d’Eivissa y las consultas ciudadanas con WhatsApp
  • Ibiza Shore o no todo vale en marcas
  • Los índices de Transparencia Internacional como inicio no como meta

Últimos comentarios

  • Sergio Carrasco Mayans en Madrid Versión Original o cómo desmentir a los medios
  • EN SERIO ;) en Madrid Versión Original o cómo desmentir a los medios
  • Sergio Carrasco Mayans en Madrid Versión Original o cómo desmentir a los medios

Comparte

follow via RSS
  • Contacto
  • Historial
  • Portada
  • Sobre el autor
Licencia de Creative Commons
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial 4.0 Internacional.