Por qué la app de Tsunami Democràtic puede vulnerar el GDPR
Los desarrolladores de la app de Tsunami Democràtic no cumplen con algunos parámetros de la normativa europea de protección de datos
La sentencia del Tribunal Supremo contra los líderes políticos del procés se ha traducido en una escalada de tensión en Cataluña. Cs y PP han exigido al PSOE que ponga «orden» y aplique el 155 de la Constitución, mientras los episodios violentos se suceden en Barcelona.
Hay un actor clave para entender quién ha vuelto a encender la mecha en las calles del soberanismo catalán. Tsunami Democràtic es el nombre que recibe esta plataforma, que se ha desvinculado de todo acto violento.
Tsunami Democràtic es la respuesta del soberanismo catalán a la sentencia del Supremo. La plataforma se presentó en redes a principios de septiembre, y su primer triunfo fue colapsar este lunes el aeropuerto de El Prat de Barcelona convocando a miles de personas.
Nadie sabe quién está detrás de esta iniciativa, que cuenta con una aplicación para teléfonos Android propia. La app, disponible a través de un repositorio, permite a los usuarios registrados ver dónde hay protestas en activo y confirmar si acudirán o advertir de si hay o no policía.
Para registrarse en ella es necesario contar con el código QR de otro usuario que ya esté inscrito. De momento la aplicación no se puede instalar desde la Google Play Store, aunque en su web los desarrolladores prometen que «pronto estará disponible».
No es seguro que lo vaya a estar. De hecho, la plataforma explicaba este miércoles en una serie de preguntas y respuestas por qué todavía no hay versión de iPhone. «La razón es que la política de la App Store es muy restrictiva —ya han censurado aplicaciones similares en las movilizaciones de Hong Kong— y es muy difícil instalar aplicaciones sin ponerlas en la App Store. Aun así, estamos explorando la posibilidad de que esté disponible más adelante».
Tsunami Democràtic se refiere a la experiencia de HKMap.live, una app que en un mapa en tiempo real detallaba dónde estaban manifestantes y policías en las protestas hongkonesas que se suceden en la isla desde hace meses. Apple no ha contestado a la petición de comentarios de Business Insider.
El problema de la app de Tsunami Democràtic es que puede estar vulnerando la normativa europea en materia de protección de datos.
En otro comunicado publicado ayer, los desarrolladores tranquilizaban a los usuarios. «El teléfono dice que la app no es segura porque detecta que no se está instalando desde Google Play y quiere tu confirmación antes de instalarla. La aplicación está diseñada pensando al máximo en seguridad y de forma descentralizada».
Varios expertos han detallado a Business Insider de qué forma esta singular aplicación, basada en RetroShare, podría estar vulnerando el GDPR, y los riesgos que por tanto podría entrañar para sus usuarios. Estas son las razones:
1. Carece de términos legales
Lo primero es lo básico.
Según explicitan del bufete Almeida, «una .apk de la que no se sabe el autor y no ofrece la posibilidad de ejercitar derechos GDPR por carecer incluso de términos legales, es insegura por definición».
Si alguien te regala una app que accede a la cámara de tu móvil, a su memoria interna y a su grabadora, y además no te informa de tus derechos RGPD, el regalo eres tú.
— Almeida (@bufetalmeida) 15 de octubre de 2019
2. No se sabe quién está detrás de la app
Enric Luján, profesor adjunto de Ciencia Política en la Universitat de Barcelona y coautor de Resistencia digital, descarta listar «riesgos» como tal, ya que «la aplicación no tiene su código públicamente disponible, por lo que hacer un análisis pormenorizado es complicado».
Sin embargo, un riesgo que sí detalla es el hecho de tener que «confiar ciegamente en la palabra de los desarrolladores, los cuales se ocultan públicamente». «Naturalmente tampoco sabemos qué hacen con los datos que obtienen de ganar acceso al micrófono, cámara y ubicación a través de la app».
3. Y por tanto, tampoco quién es el responsable del tratamiento de los datos
Para registrarse en la app es necesario contar con el código QR de una persona que ya esté dentro. Su contenido se actualiza con la información que aportan los usuarios. Es una «red P2P anónima, catalogada como cooperativa y basada en software libre», explica el consultor en ciberseguridad Jordi Ubach.
El abogado y experto en derecho digital Borja Adsuara también le da a la app una consideración de «red distribuida». Y el contar con un responsable del tratamiento de datos es «un tema complicado» en cualesquiera de estas redes. «No tienen un responsable de tratamiento claro, con lo cual ya falla todo lo que dice el GDPR».
4. Pide permisos de ubicación, cámara o micrófono, sin explicar para qué
Pantallazo de Tsunami Democràtic. Business Insider
Como explica Enric Luján y adelantaba Business Insider, la aplicación, en su instalación, pide varios permisos. El más evidente es el permiso del programa para utilizar la cámara del terminal: será necesario para leer el código QR con el que registrarse.
Además pide acceso a la ubicación, al almacenamiento del dispositivo y también al micrófono del mismo.
5. Con los que se podría identificar a sus usuarios
Aunque Ubach entiende que «no se solicitan datos personales y confidenciales de los usuarios al registrarse» —únicamente contar con un código QR—, la abogada especialista en privacidad y socia de ICEF Consultores Iciar López-Vidriero no comparte esta idea. «En el momento en el que geolocalizamos y podemos llegar a identificar a una persona, entra en juego el GDPR», detalla.
López-Vidriero abunda en que una vez que la app tiene también permiso para utilizar el micrófono, también estaríamos tratando otros datos de carácter personal. «Que sea más o menos sencillo no tiene nada que ver», incide.
«Lo que sí está claro es que la app hace un perfilado de sus usuarios: quien quiera que se la descargue tendrá unas consideraciones políticas».
6. Tampoco explica qué hace con la información que recopila
El programador Marc Almeida comparte que «el mero hecho de no informar sobre qué se hace con los datos» de los usuarios ya supondría un incumplimiento del GDPR. De momento confirma que la app sí está recopilando la información que proporcionan los propios usuarios de la red.
Sin embargo, todavía se está tratando de averiguar cuáles son las conexiones que realiza la aplicación, y a qué direcciones IP las realiza, para saber qué hace, cómo y a dónde van esos datos.
Cómo funciona la app
Es necesario contar con el código QR de un usuario. Algunos de los datos que recaba —y que distribuyen los propios usuarios de la plataforma— van desde la geolocalización hasta si acudirá a una protesta con transporte.
Pantallazo de Tsunami Democràtic. Business Insider
Una vez el usuario se ha inscrito, la app solicita conocer información sobre la disponibilidad horaria o con qué recursos cuenta el activista.
Business Insider
Quién puede estar detrás
El periodista Arturo Puente publicaba el martes pasado por la noche una información en eldiario.es que apuntaba a que detrás de la app podían estar un centenar de personas que también participaron en la preparación del referéndum del 1 de octubre de 2017.
El dominio de la web en la que se aloja el portal informativo de la entidad está alojado, según este mismo periodista, en San Cristóbal y Nieves, un pequeño paraiso fiscal radicado en el Caribe. Lo está desde julio de este año.
Falta conocer el alcance de esta información, pero tal y como apunta la abogada Iciar López-Vidriero, esto podría suponer también un trasvase de datos internacionales sobre la que también tiene ámbito de actuación la normativa europea de protección de datos.