Zoom app, la última moda ¿respeta la privacidad?
Analizamos a fondo la política de privacidad de Zoom
Si una cosa nos ha traído el confinamiento debido a la COVID-19, es la madurez de las videoconferencias, y que todos conozcamos más sus entresijos técnicos y las aplicaciones que las hacen posible. Y entre todos los nombres que se barajan en estos días, uno brilla especialmente: Zoom.
Esta aplicación, de uso gratuito, está consiguiendo tanto éxito que la ha llevado a multiplicar por cinco su cotización en el Nasdaq, aunque hace pocos días tuvo un pico que multiplicaba por diez su valor habitual antes de la crisis.
Mucho se ha dicho sobre esta y otras apps pero hoy, vamos a fijarnos en un aspecto puntual de ella, preguntándonos qué datos nuestros recoge, y cómo los trata. En definitiva, cuál es su política de privacidad.
¿Qué datos consigue Zoom de nosotros?
En su declaración de política de privacidad (que podemos encontrar en español) se detallan los datos que Zoom capta y guarda de cada usuario, fruto del uso del servicio: nombre de usuario, dirección de correo electrónico, o método de pago (si corresponde) entre otros.
Además, también guarda datos técnicos, como la dirección IP desde la que nos conectamos, la dirección física de la tarjeta de red de nuestro ordenador (la MAC), el sistema operativo que lo equipa, o qué tipo de webcam tiene. Estos, según indican, son los datos mínimos e imprescindibles para solucionar problemas técnicos y para analizar en búsqueda de mejoras al sistema.
Nuestra geolocalización no es guardada con exactitud, pero sí una aproximación geográfica para conectarnos al servidor que nos quede más cerca. Esto tiene su razón, pues es posible que, simplemente, consiga la geolocalización a través del centro de la operadora al cual nos conectamos.
Grabaciones de conferencias
Según afirma en las cláusulas de su documento de privacidad, Zoom no graba, no almacena ni analiza ninguna videoconferencia mantenida por los usuarios.
No obstante, es posible que el organizador de la videoconferencia sí quiera grabarla, aprovechando que Zoom ofrece esta posibilidad, almacenando el vídeo bien en local, bien en un servicio en la nube que proporciona a través de terceras partes.
Según la política de privacidad de Zoom, es responsabilidad de quien organiza la conferencia y solicita grabarla, informar de ello al resto de participantes. No obstante, la compañía pone a su disposición un mecanismo de alerta mediante una ventana pop-up, y también avisa de ello a los demás usuarios que van a tomar parte en la reunión mediante mensajes de audio y vídeo.
Otros elementos que también se graban son las llamadas telefónicas y los mensajes en el buzón de voz (obviamente).
Desde Zoom afirman que ni monitorizan estas comunicaciones ni acceden a las grabaciones a posteriori, algo que no queda del todo claro en el caso de los chats de texto que pueden acompañar las sesiones de videoconferencia, aunque lo más probable es que el tratamiento que reciban queda igual que en el caso del vídeo y el audio. Es decir, que no accedan a ellos… excepto que sea necesario.
Y esos casos de necesidad acostumbran a estar motivados por disputas legales. De hecho, Zoom nos advierte que, si debe protegerse en caso de litio, no le temblará la mano: «Zoom también puede revelar datos cuando sea razonablemente necesario para preservar los derechos legales de Zoom«.
Hay otra casuística en la cual Zoom se arroja el derecho a indagar en las grabaciones de sesiones de videoconferencia almacenadas en su servicio en la nube: cuando así lo solicita la persona organizadora de la videoconferencia.
Así que la conclusión es fácil: cuando participemos en una conferencia en Zoom y se nos indique que está siendo grabada, cuidado con lo que decimos.
Datos a terceras partes
En los dos sitios web que posee la compañía (zoom.us y zoom.com) encontramos espacios publicitarios (banners) puestos allí por terceras partes. Es el caso de Google AdSense.
Para estos casos, Zoom solamente avisa de que pueden ser el origen de cookies de seguimiento y monitorización, y da la oportunidad a sus usuarios de denegarlas en su navegador, pero de forma genérica. Es decir, nos indica que podemos hacerlo, incluso da un enlace en su sitio web, pero más allá de aquí no quiere saber nada.
Bien, en este sentido no hace mucho más de lo que realmente puede hacer y de lo que hacen todos los sitios web (y, en ello, no somos una excepción), si es que quieren proporcionar un servicio gratuito y seguir ganándose la vida de alguna forma.
Los datos conseguidos por esta vía pueden llegar a ser utilizados con fines publicitarios, aunque difícilmente será por e-mail; mediante los servicios publicitarios de Google, contribuirán a mejorar el perfil que tienen de nosotros en sus servidores, con lo que veremos publicidad más adecuada a nuestros gustos y preferencias cuando naveguemos por la Web.
También explicitan el uso de servicios de monitorización de visitas web, como Google Analytics, que graban o pueden grabar cookies de seguimiento en nuestro sistema. Y, nuevamente, esto es un problema que no va con ellos. Como en tantos otros casos (la gran mayoría, me atrevería a decir).
En la parte inferior de la página podemos encontrar un enlace con el explícito título de «no vender mi información personal«, que busca limitar todavía más lo que pueden hacer las empresas que extraen datos de los usuarios de estas páginas. Algo curioso para una empresa que afirma varias veces en sus términos de privacidad que no vende datos de sus usuarios a terceras partes, aunque aquí el matiz es probablemente que se circunscribe a dar instrucciones sobre cómo limitar el acceso a nuestros datos por parte de las cookies.
No es el único servicio de terceras partes que utiliza. De hecho, la misma compañía nos proporciona un listado de las empresas a las que subcontrata servicios concretos (con estos detallados) para que, a su vez, podamos repasar las cláusulas de confidencialidad de estas.
A estos ‘subcontratistas’ solamente les proporciona los datos concretos y necesarios para disponer de la funcionalidad que necesita el servicio, y les prohíbe utilizar dichos datos en beneficio propio o cederlos a otra empresa.
Pese a todo, también advierte que sus servicios «pueden incluir enlaces a sitios web y servicios de terceros que están fuera de nuestro control y que esta política no cubre«.
Duración del almacenamiento: tanto como sea necesario
Tal vez el único punto oscuro y criticable de las cláusulas del acuerdo de privacidad de este servicio puede encontrarse cuando se hace referencia al lapso de tiempo que mantendrá los datos almacenados.
Y es que, además de cumplir con los plazos que marque la ley, indica que retendrá los datos tanto tiempo como sea necesario (sin entrar en más detalles) para prestar el servicio.
¿Qué se considera prestar el servicio? ¿entran en ello las mejoras fruto del análisis de nuestros datos? Por el momento, no hay respuestas a estas preguntas.
Dicho almacenamiento se lleva a cabo usualmente en servidores de los Estados Unidos, según reza el texto de privacidad. Para utilizar el servicio, el usuario debe aceptar esta posibilidad, así como la transferencia de información a las terceras partes antes comentadas.
Incluso si no utilizamos el sistema…
Nuestro nombre y dirección de correo electrónico puede acabar cayendo en manos de Zoom. Esto es debido al programa de recomendaciones, mediante el cual un usuario de esta plataforma puede recomendarnos su uso.
En este caso, Zoom se compromete a enviarnos tan sólo un mensaje de correo electrónico y, si no respondemos, olvidarse de nosotros… no obstante, esto implica un almacenamiento perenne de estos dos datos, puesto que si alguien más los introduce para que nos envíen publicidad ¿cómo sabe que no debe enviarnos?
O eso, o viola sus propios principios, y si tras un determinado lapso de tiempo, borra nuestros datos, es posible que nos acabe llegando otro mail con publicidad del servicio de Zoom si otro conocido nos recomienda.
Conclusión: respeta la privacidad… pero como tantos otros
Una vez leído el acuerdo de privacidad que los usuarios aceptan al utilizar el servicio proporcionado por Zoom, mi conclusión es que es un texto muy correcto que expone muy buenas intenciones, pero que denota puntos en los que los datos pueden escaparse del control de la empresa. Y cómo esta se lava las manos.
No obstante, no se escapa de la tónica general de cualquier servicio online.
¿Podemos utilizarlo con tranquilidad? Tanto como Skype, Hangouts o Facetime por poner sólo unos ejemplos, pues su política de privacidad no difiere en exceso de la de estos servicios.