Clubhouse, la nueva red social de moda presenta problemas graves de privacidad

La app de voz, que ya cuenta con más de 2 millones de usuarios, incumple la normativa de protección de datos

Debido a la actual pandemia muchas redes sociales han logrado un aumento significativo tanto de su uso como de su número de usuarios.

Es el caso de Clubhouse, la última red social de moda que en menos de un año de vida ha logrado dos millones de usuarios en todo el mundo según palabras de sus fundadores, Paul Davison y Rohan Seth. Sin embargo, según estimaciones independientes se estima actualmente que ha logrado ya 10 millones de descargas. Una popularidad que se vio incrementada exponencialmente gracias a la participación de Elon Musk, fundador de Tesla, como usuario de la plataforma.

Se trata de una red en fase beta en donde el usuario tan solo puede interactuar a través de chats de voz que son emitidos en directo. Los miembros pueden reunirse a través de salas virtuales abiertas o cerradas al público donde podrían participar o tan solo escuchar a sus participantes.

Actualmente, tan solo se puede acceder a ella a través de la invitación de dos usuarios activos y mediante una app exclusiva para móviles iOS.

Sin embargo, en menos de un año de vida, ya ha generado una gran preocupación en cuanto a la seguridad y privacidad de sus usuarios.

Uso de datos

Recordemos que para poder utilizar Clubhouse es necesario haber sido invitado por miembros activos. Una vez que se cumple este requisito, el usuario debe cumplimentar su perfil y seleccionar cinco temas de interés que permitirán a la plataforma recomendarle contenido relevante.

Pero, no todo se queda ahí. Cada usuario deberá dar acceso a su agenda de contactos si desea tener la capacidad de invitar a alguien a la red social, funcionalidad más que relevante en esta fase inicial de uso exclusivo por invitación.

CLUBHOUSE APP

A la hora de invitar a un contacto para que pueda utilizar la app, la plataforma registra todos los contactos del iPhone que no tiene identificados como usuarios actuales de Clubhouse. Sin embargo, también muestra aquellos que sí lo son y son ordenados en función del número de amigos que tienen asociados a su perfil diferenciando, así, a aquellos contactos que podrían ser más relevantes o con mayor notoriedad en la red.

Si un usuario decide ceder su agenda, la red usará su número de teléfono para verificar cuántas veces aparecen en los contactos de otros miembros, incluso de aquellos que no tengan interés en unirse, de manera que la plataforma ya conocerá su nombre y teléfono.

Por ejemplo, digamos que si Ana cede el número de María (que no es usuario de Clubhouse) y Juan también cede el teléfono de María, la red social sabrá que María está conectada con Ana y Juan sin haber sido nunca miembro de la red.

Esta funcionalidad sigue siendo muy controvertida porque supone una injerencia en la privacidad de las personas. En términos generales, atendiendo a lo establecido por el Reglamento General de Protección de Datos (RGPD), el tratamiento solo será lícito si el interesado ha dado su consentimiento para el tratamiento de sus datos personales (art. 6.1).

En este sentido, la autoridad de control de protección de datos belga (La Commission de la protection de la vie privée) ya se manifestó al respecto a través de la sanción impuesta el pasado año a «Twoo», una red social para encontrar pareja, debido a una función similar llamada tell a friend (dile a un amigo).

En 2016, Alemania también se enfrentó a Facebook dictaminando que este tipo de prácticas consistentes en hacer uso de contactos cargados para atraer nuevos miembros contravenía la ley de consumidores.

Estas funcionalidades en ningún momento requieren del consentimiento de los distintos usuarios que ven cedidos sus datos por un contacto suyo. Un requerimiento que hace que la mayoría de las funcionalidades de «invitar a un amigo» se conviertan en impracticables en materia de protección de datos.

Política de privacidad

Las empresas que no tienen sede dentro de la UE cuando tratan datos personales de los interesados que residen en la Unión deben designar un representante de protección de datos. Esta designación debe reflejarse, por tanto, en la información que se pone a la disposición de cada interesado en la recogida de sus datos (por ejemplo, a través de las preceptivas cláusulas informativas y políticas de privacidad) siguiendo los requerimientos de los artículos 13 y 14 del RGPD.

Sin embargo, si analizamos la política de privacidad publicada por la compañía no se hace alusión en ningún momento a esta figura.

Por otra parte, a pesar de ser un servicio puesto a disposición a nivel internacional, el idioma utilizado es tan solo el inglés. Siendo estrictos, el artículo 12.1 del RGPD establece que la información facilitada al interesado debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Al limitarse el acceso a dicha política de privacidad en inglés, los usuarios de otros países podrían verse limitados a la hora de acceder y entender dicha información desconociendo bajo qué condiciones están accediendo al servicio.

En cuanto a su contenido, se podrían mencionar importantes deficiencias en cuanto a la información que se facilita al usuario del tratamiento de sus datos (art. 6 del RGPD) como, por ejemplo:

  • Delegado de protección de datos (DPD): no se facilita información de contacto del DPD, una nueva figura introducida por el Reglamento, que debería haber sido designado y registrado por la compañía atendiendo al tipo de tratamiento de datos realizado (art. 37.1 del RGPD).
  • Plazos de conservación: a pesar de indicar que los datos son retenidos para las finalidades descritas en la política de privacidad, no se detallan los plazos de conservación de los mismos como requiere la norma.
  • Transferencia internacional de datos: dado que la compañía trata datos de ciudadanos residentes en la Unión Europea y que almacena datos en Estados Unidos, Clubhouse debería informar de dicha transferencia de datos conforme se lleva a cabo con las garantías adecuadas o requerir de su consentimiento. En la política tan solo informan que los datos serán almacenados en Estados Unidos.
  • Creación de perfiles: en la política de privacidad se hace alusión a la creación de perfiles de usuario, los cuales son creados en función de los datos que se recaban de sus miembros con motivo de identificar las preferencias de contenido o, incluso, con la intención de ofrecerle productos y servicios personalizados a sus características.

Derived Data: We may infer your preferences for content and features of the Service, or future products and services, based on the Personal Data we collect about you.

La elaboración de perfiles exige, en este caso concreto, el consentimiento explícito del interesado (art. 22 RGPD) que tampoco se estaría llevando a cabo.

  • Cesiones con terceros: aparte de a proveedores de servicio y a aquellas legalmente necesarias, Clubhouse comparte los datos de sus usuarios con otros terceros. Entre los descritos estarían los correspondientes a transferencias comerciales (relativos a cualquier fusión, adquisición, reorganización, etc. que pueda sufrir la compañía) y afiliados actuales y futuros.

Cualquier cesión a un tercero deberá estar autorizado de manera previa y expresa por el interesado, que debe conocer qué entidades accederán a sus datos y bajo qué condiciones.

Datos de menores

Miembros mayores de 18 años. Esa es una de las normas que la red social incluye en sus condiciones de uso: You must be at least 18 years of age to use Clubhouse (or older if required by your country).

Sin embargo, durante la creación y configuración del perfil como usuario, la plataforma no realiza ningún tipo de verificación de edad, de manera que cualquier persona podría acceder sin limitación.

Un aspecto que ya ha traído problemas recientemente a TikTok, que debido a no implementar ninguna medida de filtro de edad, fue bloqueada en Italia a raíz de la noticia de la muerte de una niña de 10 años.

La legislación europea establece que, en términos generales, el tratamiento de datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años (art. 8.1 del RGPD), aunque los distintos estados miembros pueden establecer una edad inferior siempre y cuando no sea inferior a 13 años. Por ejemplo, en España la edad mínima es 14 años (art. 7.1 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).

No incluir ningún tipo de medida para verificar la edad de los usuarios haría que Clubhouse trate datos de menores de edad con las responsabilidades y posibles incumplimientos que dicho tratamiento conlleve.

Grabado y cifrado de conversaciones

A través de su actual política de privacidad podemos encontrar, por ejemplo, que la red social graba las conversaciones que se emiten en directo de manera temporal:

Audio: Solely for the purpose of supporting incident investigations, we temporarily record the audio in a room while the room is live. If a user reports a Trust and Safety violation while the room is active, we retain the audio for the purposes of investigating the incident, and then delete it when the investigation is complete. If no incident is reported in a room, we delete the temporary audio recording when the room ends. Audio from (i) muted speakers and (ii) audience members is never captured, and all temporary audio recordings are encrypted.

El motivo que traslada Clubhouse para grabar y almacenar temporalmente estas conversaciones es el de investigar cualquier denuncia o incidente que se haya notificado en el transcurso de una sesión en directo. En aquellos casos en los que una sala no haya registrado ninguna denuncia, se eliminarían las grabaciones una vez que la sesión haya finalizado.

Esta política desprende un problema importante, el cifrado de las conversaciones. Si la compañía afirma que almacena todas las grabaciones significa que dichas grabaciones no están cifradas de extremo a extremo (E2EE).

Si las conversaciones no están cifradas, no solo Clubhouse podría acceder a la información, sino que terceros también podrían llegar a acceder a ella.

Sería el caso, por ejemplo, del gobierno chino. Y es que, atendiendo a la información facilitada por el Observatorio de Internet de Stanford, la red social hace uso de un proveedor chino (Agora) para basar su infraestructura de audio en streaming. Un país que debido a su ley de seguridad puede requerir a la plataforma acceder a los datos que requieran accediendo, así, a conversaciones no cifradas donde, según palabras de los investigadores de Stanford, «se podría saber si dos usuarios están hablando entre sí, por ejemplo, al detectar si esos usuarios se están uniendo al mismo canal».

Exponer las conversaciones mantenidas a través de la red social supone una vulneración de la confidencialidad de las comunicaciones amparado por la Directiva de privacidad y comunicaciones electrónicas 2002/58/CE. Su artículo 5.1 prohíbe expresamente «la escucha, la grabación, el almacenamiento u otros tipos de intervención o vigilancia de las comunicaciones y los datos de tráfico asociados a ellas por personas distintas de los usuarios, sin el consentimiento de los usuarios interesados».

Esta exposición de datos deja en evidencia la falta de medidas de seguridad por parte de la red social, que con motivo de garantizar un nivel de seguridad adecuado debería haber implementado el correspondiente cifrado de datos personales (art. 32.1 del RGPD) atendiendo a los posibles riesgos a los que se enfrentan de cara a los derechos y libertades de sus usuarios.

Bloqueo en China

Desde su lanzamiento, Clubhouse se ha enfrentado a importantes críticas en China o incluso en su país de origen, Estados Unidos, por tener herramientas de moderación deficientes o inadecuadas.

Así, los censores chinos decidieron desde este mes de febrero bloquear el uso de la app en todo el país a través de su Proyecto Escudo Dorado o, como se conoce también, su Gran Cortafuegos encargado de la vigilancia y la censura de Internet en China. Y es que, la plataforma brindaba a sus usuarios la posibilidad de expresar y escuchar con libertad cualquier tipo de opinión.

Protección de datos desde el diseño y por defecto

Durante esta fase de lanzamiento, en la que se encuentra inmersa desde hace un año la app, ha quedado patente que su desarrollo ha sido pensado al revés. Como diríamos comúnmente, se ha diseñado la casa por el tejado.

La aplicación nació no ateniéndose a dos principios básicos: la protección de datos desde el diseño y por defecto. Dos principios pilares por los que se rige el RGPD que tienen como objetivo que la protección de datos se encuentre presente ya en las primeras fases de concepción cualquier proyecto, y que derivan en una correcta definición e implementación de las medidas técnicas y organizativas necesarias para que el tratamiento de datos personales se lleve a cabo con las máximas garantías.

Aunque Clubhouse ha informado que mejorará la seguridad de su servicio a raíz de las críticas recibidas desde su primer año de vida, ya se encuentra en el punto de mira debido a las deficiencias que presenta en materia de seguridad y protección de datos.


Sigue esta y otras noticias a través de nuestro canal de Telegram