Lleida.net niega haber participado “de forma activa” en Zunzuneo
- Lleida.net, la empresa española usada para el envío de SMS a usuarios de la red social, según AP, es una histórica del hacking hispano
Entre agosto de 2009 y junio de 2012 estuvo activa en Cuba la red social ZunZuneo, una plataforma para el envío gratuito de mensajes a través de teléfonos móviles dirigido a los más jóvenes y que Estados Unidos impulsó con el fin de promover cambios políticos en la isla, según destapó el jueves la agencia Associated Press.
Esta operación, en la que intervienen distintos actores de varios países, y que se basa en la existencia de empresas pantalla, pagos a través de paraísos fiscales y ausencia aparente de control político (el senador demócrata Patrick Leahy ha denunciado la “naturaleza clandestina del programa”, según recoge AP) también cuenta con intervención española.
Además de que la gestión de ZunZuneo se realizase desde nuestro país a través de una compañía creada por otra del Reino Unido, la parte tecnológica también era española. Se trata de la agencia Lleida.net, una empresa de servicios de acceso a Internet constituida en 1995 y que se ha especializado en la certificación de comunicaciones electrónicas.
De acuerdo con los documentos a los que ha tenido acceso AP (más de 1.000), y a sus confirmaciones posteriores, esta empresa fue contratada para enviar mensajes a los suscriptores en Cuba. Entre ellos estaría el medio de millón que se lanzaron con motivo del concierto de Juanes en septiembre de 2009 con la finalidad de “testar” el clima de movilización y de ir creando perfiles de usuarios para un uso posterior, clasificándolos por características demográficas y afinidad política según su interacción ante las comunicaciones recibidas, tal como relata AP.
Los mensajes, que tenían como finalidad crear una masa crítica, no eran explícitamente políticos.
Puestos en contacto con la empresa catalana, ésta nos remite a un comunicado en el que precisan que no han participado “de forma activa” en los hechos. Y añaden que son “una operadora de telecomunicaciones utilizada por miles de clientes a nivel mundial para el envío y recepción de mensajes de texto, de forma transparente” y que, como tal, “está sometida al régimen de secreto de las comunicaciones, no pudiendo verificar, intervenir o modificar el contenido de los mensajes de los clientes”.
Y concluyen: “Si en algún momento alguno de los usuarios de Lleida.net ha cometido algún tipo de acto ilícito, Lleida.net está, como lo ha estado siempre, a disposición de las autoridades competentes para facilitar la información necesaria siempre por los cauces legalmente establecidos”.
Es decir, según esta explicación, Lleida.net habría aportado la tecnología para la transmisión anonimizada de los mensajes enviados a Cuba, pero no habría realizado directamente los envíos. Se ampara en la normativa en materia de telecomunicaciones para no darse por enterada de las actividades que los promotores de Zunzuneo (clientes) habrían realizado.
Lleida.net es una empresa consolidada en el ámbito de la seguridad de las comunicaciones con estrechas relaciones, por ejemplo, con la Guardia Civil. Así, en mayo del año pasado su director ejecutivo, Sisco Sapena, presentó en Washington, junto a un capitán de la Unidad de Delitos Telemáticos de la Guardia Civil, su experiencia con la recepción certificada.
Lleida.net suministra a la Guardia Civil la tecnología para las notificaciones certificadas, que primero se emplearon para la comunicación de delitos telemáticos, con el programa “A tu lado” y, desde diciembre de 2012, se extendieron a otros ámbitos como tráfico o medioambiente.
Sisco Sapena, cofundador de Lleida.net, es uno de los históricos del IRC hispano, y fue su presidente (cuando esta red se constituyó en asociación) entre 1999 y 2007, según se narra en Hackstory. La empresa tiene también su origen en uno de los primeros grupos hackers de Barcelona, Apòstols.
En cuanto a responsabilidad legal en que hubiera podido incurrir Lleida.net por su participación en ZunZuneo, habría que determinar si por su parte hubo tratamiento de datos personales de los usuarios a quienes se habrían enviado mensajes, aunque de su comunicado se desprende que no fue así. También habría que aclarar cuál es origen de esos datos y que uso se les dio.
En estos momentos, tal como hemos podido comprobar, la empresa tiene cuatro ficheros registrados en la Agencia Española de Protección de Datos, entre ellos uno denominado “comunicaciones electrónicas”, cuya finalidad declarada es “la gestión de los datos de trafico de los sms enviados y/o recibidos a través de la plataforma de la empresa”. Los otros tres son “Clientes” cuya finalidad declarada es la “gestión de clientes de la empresa”, “comercial” y “personal”, para la gestion del personal y confección de nóminas.
En ninguno de ellos se facilita otra información más allá de la finalidad. La normativa de protección de datos contempla como obligatorias para los responsables de ficheros también (según el Real Decreto que lo regula): el servicio o unidad ante el que pueden ejercitarse los derechos de oposición, acceso, rectificación y cancelación; el origen y procedencia de los datos, incluyendo el colectivo de personas sobre el que se obtienen los datos de carácter personal; tipos de datos, estructura y organización del fichero y, en su caso, los destinatarios de cesiones y/o transferencias internacionales de datos.
La inscripción de ficheros (algo que, por otro lado, no presupone su “legalidad”) es una de las obligaciones que tienen los responsables de bases de datos de carácter personal, pero no la única. Entre otras se encuentra la denominada “calidad de los datos”, que implica que éstos sólo se podrán recoger para su tratamiento cuando sean “adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.
Además, los datos de carácter personal objeto de tratamiento automatizado “no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos” y deben contar con el consentimiento inequívoco del afectado, tanto para su tratamiento como para la cesión a terceros.
Según nos explica el abogado Carlos Almeida, la obtención de información personal de los ficheros de la operadora telefónica cubana sería, por parte de quien lo hubiera realizado, una “sustracción de datos ilícita”. Y precisa que, según nuestro ordenamiento jurídico podría tratarse de “un delito de revelación de secretos por ‘apoderamiento’, recogido en el artículo 197.2 de nuestro Código Penal”. También el envío de mensajes no solicitados que incumpliría la legislación española y comunitaria.
Con todo, lo más grave, sería “usar esa información para crear una lista de personas por su afiliación política está completamente prohibido por el art. 7.4 de la Ley española de Protección de Datos”.
También precisa Almeida que debería analizarse si han cumplido con las obligaciones relativas a la cesión internacional de datos.
Por su parte, la Agencia Española de Protección de Datos nos confirma que no tiene ningún expediente abierto sobre este caso y recuerda que para pronunciarse sobre la legalidad o no de estas actuaciones (que sería mediante una Resolución, tras el correspondiente procedimiento de investigación e inspección), debería mediar una denuncia previa, de un afectado o de cualquier otra persona.
Estados Unidos confirmó ayer la existencia de este proyecto a través de su portavoz y la secretaria de Estado, aunque precisaron que no era “clandestino”, sino “discreto”.
ZunZuneo desapareció de manera abrupta en 2012, dejando desconcertados a sus suscriptores que nunca llegaron a ser conscientes que habían sido rastreados y clasificados ni a conocer el verdadero fin de la plataforma: una fallida “Primavera Cubana” marca USA.