Durante los últimos días han aparecido numerosas noticias sobre una aplicación llamada Tea, que se ha hecho viral en Estados Unidos tras una grave filtración de datos provocada por un ciberataque. Más allá del incidente de seguridad, Tea plantea un interesante debate jurídico y ético.
¿Qué es Tea y qué permite hacer?
Según su fundador Tea es una app concebida como un espacio “seguro” para que las mujeres puedan compartir reseñas sobre hombre con los que han tenido alguna relación. Para participar, las usuarios deben pasar por un proceso de verificación (con selfie) y, una vez dentro, pueden:
- Escribir comentarios o “reviews” sobre personas concretas.
- Subir capturas de pantalla de chats o mensajes.
- Compartir selfies de los aludidos o fotos de sus perfiles.
- Etiquetar con “alertas” o “red flags” ciertos comportamientos.
- Consultar el historial de otros hombres.
Qué tipo de tratamiento de datos personales realiza?
Desde la perspectiva y visión del Derecho de Protección de Datos en Europa, estaríamos ante un sistema que:
- Recoge y difunde datos personales sobre terceros sin su conocimiento ni consentimiento.
- Permite identificar de forma directa o indirecta a personas físicas ajenas.
- Incluye información personal, y también información especialmente sensible o de categoría especial (salud, orientación sexual, relaciones, etc.).
- No ofrece a los afectados mecanismos para ejercer sus derechos (acceso, oposición, rectificación, supresión) dado que desconocen su tratamiento.
Además, esta información se estructura, almacena y difunde dentro de la propia app, con opciones de búsqueda y alerta. Es decir, no es un intercambio espontáneo entre un circulo privado de amigas: es una herramienta digital con finalidad específica de tratamiento de datos.
¿Sería esto posible en Europa?
Vamos a analizar:
¿Aplicaría el RGPD?
Sí. El Reglamento General de Protección de Datos (RGPD) se aplica siempre que se traten datos personales de personas físicas identificadas o identificables, y cuando el tratamiento se realiza fuera del ámbito estrictamente personal o doméstico. Una plataforma como Tea, que recopila y difunde información personal entre miles de usuarias mediante un sistema digital, entraría de lleno en el ámbito de aplicación del RGPD.
¿Qué base jurídica podría amparar este tratamiento?
Aquí reside el principal conflicto. El RGPD establece en su artículo 6 una serie de bases legítimas para tratar datos. En el caso de Tea, ninguna parece aplicable:
- Consentimiento: No existe consentimiento de los hombres sobre los que se publican datos.
- Relación contractual u obligación legal: No hay tal relación con las personas reseñadas.
- Interés legítimo: Este podría ser invocado por el colectivo, pero difícilmente superaría el test de ponderación frente al impacto que puede suponer para el honor, intimidad y privacidad de los afectados.
En consecuencia, el tratamiento sería, desde el punto de vista normativo de protección de datos, injustificado y totalmente ilícito.
¿Qué diferencia a Tea de una conversación privada?
El ámbito de aplicación del RGPD no alcanza a comentarios entre amigas, en grupos privados o situaciones domésticas.
Sin embargo, una aplicación que está diseñada expresamente para almacenar, estructurar y difundir información personal sobre terceros implica que quien gestiona la información se convierte en un responsable del tratamiento, con todas las obligaciones que ello conlleva.
El dilema final: privacidad vs. libertad de expresión
La libertad de expresión y de información son derechos fundamentales, sí, pero no son derechos absolutos. Como cualquier otro derecho, debe ejercerse con respeto a otros, como el derecho a la intimidad, al honor o a la propia imagen.
Por suerte, en Europa existe una mayor concienciación social sobre esta necesidad de este equilibrio. El marco jurídico del RGPD no solo regula el tratamiento de datos: introduce criterios de proporcionalidad, minimización y responsabilidad, que obligan a pensar en la privacidad en los sistemas y tratamientos de datos.
Casos como el de Tea —y el hecho de que no puedan tener cabida legal en EU— nos recuerdan por qué este enfoque es tan importante. Los que trabajamos en privacidad lo repetimos a menudo: proteger los datos no es una traba, es una forma de proteger nuestros derechos. Y frente a quienes critican que Europa “legisla demasiado” o “pone barreras a la innovación”, este tipo de ejemplos sirven como respuesta.
Porque si regular significa evitar que una persona sea expuesta públicamente sin consentimiento, vulnerado su intimidad, honor y sin defensa, entonces sí: regulemos.