WhatsApp, Telegram i companyia: què passa amb les teves dades quan xateges?

Admetem-ho: si algú ens tragués WhatsApp, el caos seria total. L'utilitzem per a tot: parlar amb amics, coordinar la feina, enviar fotos, àudios, mems, documents… fins i tot per discutir. Però darrere d’aquesta comoditat hi ha quelcom en què rarament pensem: la quantitat de dades personals que regalem sense adonar-nos-en.

L’Autoritat Catalana de Protecció de Dades (APDCAT) fa anys que alerta sobre això. Ja el 2013 i el 2016 va publicar dos dictàmens sobre l'ús d'apps de missatgeria, i el que deia continua sent totalment actual: no totes les plataformes són segures, i molt menys per tractar informació sensible.

No és només “una app per parlar”

Cada vegada que utilitzes una aplicació de missatgeria, no només envies missatges. També comparteixes metadades: amb qui parles, quan, des d’on, quant dura la conversa, quins arxius envies, quins contactes tens… Tot això viatja als servidors de l’empresa que gestiona l’app, normalment fora d’Europa.

I aquí és on hi ha el problema. A Europa tenim el Reglament General de Protecció de Dades (RGPD), que exigeix garanties fortes sobre privacitat, seguretat i consentiment. Però moltes d’aquestes plataformes no compleixen al 100% aquestes normes, o ho fan a la seva manera.

I si la utilitza una administració o un professional?

Aquí és on l’APDCAT va ser clara. En el seu Dictamen 24/2013, explicava que no és recomanable que advocats, metges, escoles o institucions públiques utilitzin WhatsApp o similars per comunicar-se amb clients o ciutadans.

Per què?
Perquè l’administració o el professional és responsable del tractament de les dades, fins i tot si utilitza una eina de tercers. I si aquesta eina no compleix les normes europees (per exemple, si guarda dades en servidors dels EUA o permet accedir als contactes sense consentiment), la responsabilitat no desapareix.

En el Dictamen 55/2016, l’advertència s’estenia també a les administracions:

“Les entitats públiques han d’assegurar-se que els sistemes de missatgeria instantània que utilitzin compleixin els principis i garanties de la normativa de protecció de dades.”

És a dir: no n’hi ha prou amb dir “només enviem avisos per WhatsApp”. Si en aquest xat hi ha informació personal —una cita mèdica, un expedient o un document—, l’entitat ha de garantir que el servei compleix amb el RGPD, que les dades estan encriptades i que el ciutadà ha donat el seu consentiment.

El que WhatsApp (i altres apps) saben realment de tu

Tot i que WhatsApp diu utilitzar xifrat d’extrem a extrem, això no vol dir que no reculli informació. De fet, la seva política de privacitat reconeix que emmagatzema:

  • El teu número de telèfon.

  • La teva llista de contactes (encara que no els utilitzis).

  • La teva ubicació si la comparteixes.

  • Dades del dispositiu, del sistema operatiu i de l’ús.

I encara que els missatges estan xifrats, les metadades no. Això vol dir que l’empresa pot saber quan parles, amb qui i amb quina freqüència.

Telegram, per la seva banda, té una política una mica més flexible (permet xats secrets xifrats, per exemple), però també emmagatzema part de la informació en servidors externs. Signal, en canvi, és l’opció més respectuosa amb la privacitat, encara que menys popular.

Consells ràpids per no regalar la teva privacitat

  • Revisa els permisos de l’app. Si no necessites que accedeixi a la teva ubicació o micròfon, desactiva-ho.

  • Evita enviar dades personals o documents importants per xat, especialment si no coneixes bé l’altra persona.

  • Desactiva les còpies de seguretat al núvol: moltes no estan xifrades.

  • Crea grups amb cura: afegir algú sense el seu consentiment també pot ser una infracció.

  • Actualitza sempre l’app: moltes bretxes de seguretat venen de versions antigues.

  • I a la feina, utilitza eines corporatives segures, no el teu WhatsApp personal.