Expertos explican por qué la app Tsunami Democràtic que están usando los independentistas para coordinar las protestas puede vulnerar el GDPR

• Los desarrolladores de la app de Tsunami Democràtic defienden que es completamente segura, pero no cumplen con algunos parámetros de la normativa europea de protección de datos según varios expertos consultados.
• Varios consultores, abogados y programadores han explicado a Business Insider las carencias del programa en esta materia.
• Aunque se trata de una red P2P descentralizada y con cifrado basada en RetroShare, todavía no se sabe quién es el responsable del tratamiento de datos que la app recopila, ni para qué necesita algunos permisos.
• Medios como eldiario.esabundan en que detrás de la app podrían estar centenares de personas que ya estuvieron en la preparación del referéndum del 1-O hace dos años.
• Descubre más historias en Business Insider España.

La sentencia del Tribunal Supremo contra los líderes políticos del procés se ha traducido en una escalada de tensión en Cataluña. Cs y PP han exigido al PSOE que ponga "orden" y aplique el 155 de la Constitución, mientras los episodios violentos se suceden en Barcelona.

Hay un actor clave para entender quién ha vuelto a encender la mecha en las calles del soberanismo catalán. Tsunami Democràtic es el nombre que recibe esta plataforma, que se ha desvinculado de todo acto violento.

Tsunami Democràtic es la respuesta del soberanismo catalán a la sentencia del Supremo. La plataforma se presentó en redes a principios de septiembre, y su primer triunfo fue colapsar este lunes el aeropuerto de El Prat de Barcelona convocando a miles de personas.

Nadie sabe quién está detrás de esta iniciativa, que cuenta con una aplicación para teléfonos Android propia.La app, disponible a través de un repositorio, permite a los usuarios registrados ver dónde hay protestas en activo y confirmar si acudirán o advertir de si hay o no policía.

Para registrarse en ella es necesario contar con el código QR de otro usuario que ya esté inscrito. De momento la aplicación no se puede instalar desde la Google Play Store, aunque en su web los desarrolladores prometen que "pronto estará disponible".

No es seguro que lo vaya a estar. De hecho, la plataforma explicaba este miércoles en una serie de preguntas y respuestas por qué todavía no hay versión de iPhone. "La razón es que la política de la App Store es muy restrictiva —ya han censurado aplicaciones similares en las movilizaciones de Hong Kong— y es muy difícil instalar aplicaciones sin ponerlas en la App Store. Aun así, estamos explorando la posibilidad de que esté disponible más adelante".

Tsunami Democràtic se refiere a la experiencia de HKMap.live, una app que en un mapa en tiempo real detallaba dónde estaban manifestantes y policías en las protestas hongkonesas que se suceden en la isla desde hace meses. Apple no ha contestado a la petición de comentarios de Business Insider.

Por su parte, Google tiene una serie de requisitos para dar de alta nuevas aplicaciones en su Play Store que podrían dificultar el acceso de Tsunami Democràtic a la misma.

El problema de la app de Tsunami Democràtic es que puede estar vulnerando la normativa europea en materia de protección de datos.

En otro comunicado publicado ayer, los desarrolladores tranquilizaban a los usuarios. "El teléfono dice que la app no es segura porque detecta que no se está instalando desde Google Play y quiere tu confirmación antes de instalarla. La aplicación está diseñada pensando al máximo en seguridad y de forma descentralizada".

Varios expertos han detallado a Business Insider de qué forma esta singular aplicación, basada en RetroShare, podría estar vulnerando el GDPR, y los riesgos que por tanto podría entrañar para sus usuarios. Estas son las razones:

1. Carece de términos legales

Lo primero es lo básico.

Según explicitan del bufete Almeida, "una .apk de la que no se sabe el autor y no ofrece la posibilidad de ejercitar derechos GDPR por carecer incluso de términos legales, es insegura por definición".

2. No se sabe quién está detrás de la app

Enric Luján, profesor adjunto de Ciencia Política en la Universitat de Barcelona y coautor de Resistencia digital, descarta listar "riesgos" como tal, ya que "la aplicación no tiene su código públicamente disponible, por lo que hacer un análisis pormenorizado es complicado".

Sin embargo, un riesgo que sí detalla es el hecho de tener que "confiar ciegamente en la palabra de los desarrolladores, los cuales se ocultan públicamente". "Naturalmente tampoco sabemos qué hacen con los datos que obtienen de ganar acceso al micrófono, cámara y ubicación a través de la app".

3. Y por tanto, tampoco quién es el responsable del tratamiento de los datos

Para registrarse en la app es necesario contar con el código QR de una persona que ya esté dentro. Su contenido se actualiza con la información que aportan los usuarios. Es una "red P2P anónima, catalogada como cooperativa y basada en software libre", explica el consultor en ciberseguridad Jordi Ubach.

El abogado y experto en derecho digital Borja Adsuara también le da a la app una consideración de "red distribuida". Y el contar con un responsable del tratamiento de datos es "un tema complicado" en cualesquiera de estas redes. "No tienen un responsable de tratamiento claro, con lo cual ya falla todo lo que dice el GDPR".

4. Pide permisos de ubicación, cámara o micrófono, sin explicar para qué

Como explica Enric Luján y adelantaba Business Insider, la aplicación, en su instalación, pide varios permisos. El más evidente es el permiso del programa para utilizar la cámara del terminal: será necesario para leer el código QR con el que registrarse.

Además pide acceso a la ubicación, al almacenamiento del dispositivo y también al micrófono del mismo.

5. Con los que se podría identificar a sus usuarios

Aunque Ubach entiende que "no se solicitan datos personales y confidenciales de los usuarios al registrarse" —únicamente contar con un código QR—, la abogada especialista en privacidad y socia de ICEF Consultores Iciar López-Vidriero no comparte esta idea. "En el momento en el que geolocalizamos y podemos llegar a identificar a una persona, entra en juego el GDPR", detalla.

López-Vidriero abunda en que una vez que la app tiene también permiso para utilizar el micrófono, también estaríamos tratando otros datos de carácter personal. "Que sea más o menos sencillo no tiene nada que ver", incide.

"Lo que sí está claro es que la app hace un perfilado de sus usuarios: quien quiera que se la descargue tendrá unas consideraciones políticas".

6. Tampoco explica qué hace con la información que recopila

El programador Marc Almeida comparte que "el mero hecho de no informar sobre qué se hace con los datos" de los usuarios ya supondría un incumplimiento del GDPR. De momento confirma que la app sí está recopilando la información que proporcionan los propios usuarios de la red.

Sin embargo, todavía se está tratando de averiguar cuáles son las conexiones que realiza la aplicación, y a qué direcciones IP las realiza, para saber qué hace, cómo y a dónde van esos datos.

Cómo funciona la app

Es necesario contar con el código QR de un usuario. Algunos de los datos que recaba —y que distribuyen los propios usuarios de la plataforma— van desde la geolocalización hasta si acudirá a una protesta con transporte.

Una vez el usuario se ha inscrito, la app solicita conocer información sobre la disponibilidad horaria o con qué recursos cuenta el activista.

Quién puede estar detrás

El periodista Arturo Puente publicaba el martes pasado por la noche una información en eldiario.es que apuntaba a que detrás de la app podían estar un centenar de personas que también participaron en la preparación del referéndum del 1 de octubre de 2017.

El dominio de la web en la que se aloja el portal informativo de la entidad está alojado, según este mismo periodista, en San Cristóbal y Nieves, un pequeño paraiso fiscal radicado en el Caribe. Lo está desde julio de este año.

Falta conocer el alcance de esta información, pero tal y como apunta la abogada Iciar López-Vidriero, esto podría suponer también un trasvase de datos internacionales sobre la que también tiene ámbito de actuación la normativa europea de protección de datos.