MEGA – 13 Detalles sobre sus términos y condiciones

Síguenos en |     

¿Qué particularidades presentan los términos y condiciones de MEGA?

MEGA, el nuevo servicio de Kim Dotcom, el creador de Megaupload, para almacenar y compartir archivos, está entre nosotros desde hace un par de días.

La idea de MEGA, que ojo al dato se auto denomina «The Privacy Company», consiste en actuar como un proveedor de almacenamiento en la nube (hasta 50GB en la versión gratuita). En esa nube, y por ahora únicamente desde un navegador web (preferiblemente Chrome por lo que indican las FAQ), se pueden subir, almacenar, gestionar o descargar archivos y datos de todo tipo. Nada raro por ahora. La particularidad está en que el usuario antes de subir un archivo a MEGA, cifra automáticamente esos datos. Quien luego descarga el archivo, y sólo una vez descargado, descifra el archivo. Las claves de cifrado usadas, con la excepción de las públicas, nunca abandonan por tanto los ordenadores de los usuarios.

Por tanto MEGA técnicamente nunca sabe qué hay alojado en sus servidores, ni cuando se sube ni cuando se baja .

Ahora bien, la información cifrada se limita al nombre del archivo/carpeta y el archivo en sí, pero no a la información personal asociada a la cuenta. Por ej. el email, la IP, la estructura de carpetas, el propietario del archivo o las credenciales de pago se almacenan y procesan sin cifrar y MEGA tiene acceso a esa información tal cual.

Una vez cifrados y subidos los archivos, pueden compartirse con otros usuarios del servicio o vía un enlace público con cualquiera, requiriéndose en ese caso la exportación y transmisión segura de la concreta clave de cifrado, lo que según MEGA es responsabilidad exclusiva del usuario.

Hecha esta pequeña introducción, ¿qué cuentan sus términos y condiciones? Pues a continuación lo veremos. Se componen los TyC de MEGA de unos Terms of Use, una Privacy Policy y una Copyright Notice. Por referencia incluyen el contenido de las FAQ, bastante detallado. También tiene MEGA una API, pero los TyC específicos no son públicos sino que deben solicitarse expresamente según la cláusula 15 de las Condiciones de Uso.

Geolocalización y otros datos de la empresa según sus términos y condiciones, en el Mapa de Términos y Condiciones.

Vamos pues a ver qué descubrimos:

  • En cuanto a la extensión estamos ante unos términos y condiciones que en su totalidad alcanzan las 5347 palabras, únicamente en inglés independientemente del idioma escogido (aunque en Español sí aparece traducido el Aviso sobre Propiedad Intelectual) y en los que las Condiciones de Uso llevan la voz cantante en cuanto al número de cláusulas, hasta 46 «artículos». Si alguien emplea el servicio como empresa, se permite indirectamente, cualquier previsión relativa a consumidores contemplada en los TyC no resultará aplicable a la prestación del servicio.
  • Los términos y condiciones son aceptados de forma irrevocable por el usuario que se da de alta, pero también por aquellos terceros a los que permitamos acceder al contenido o usar los servicios de MEGA, aunque no tengan cuenta. Es decir, quien por ejemplo accede a nuestro enlace público (y su correspondiente clave) también está aceptando los términos y condiciones (sin necesidad de tener cuenta). De hecho, nosotros usuarios que compartimos ese enlace público, somos los únicos responsables de las acciones u omisiones de esos terceros en tanto en cuanto usan el servicio y deberemos indemnizar a MEGA en caso de que sufra algún daño derivado de la vulneración de los términos y condiciones por alguno de esos terceros.
  • Se indica que la pérdida o extravío de la clave de cifrado, la contraseña que elegimos al darnos de alta, es fatal, hasta el punto de convertir en irrecuperable la información almacenada. Vaya, que no es posible generar uno nuevo y acceder a la información guardada (a no ser que haya sido compartida y la clave exportada previamente). La cláusula 18 incide todavía más en este asunto y establece que seremos responsables de cualquier acción que se lleve a cabo con nuestro nombre de usuario y contraseña (supongo que por eso insisten en la necesidad de crear una contraseña segura y mantenerla a buen recaudo). En este sentido, se nos recuerda también que MEGA no garantiza que la información no pueda perderse (por mucho sistema de duplicado físico y geográfico que mencionen las FAQ), de modo que debemos hacer copias de todo lo que subimos. De hecho, la cláusula 35.1 dice que MEGA no es legalmente responsable por la pérdida o corrupción de datos que podamos experimentar tras usar el servicio. Además, si hemos decidido darnos de baja, antes de comunicarlo debemos recuperar todo lo subido. Sino es posible que ya no lo encontremos.

  • A MEGA le gusta la expresión «if we wish» (si queremos), la cláusula 9 de las Condcs. de Uso está llena por ejemplo. ¿Pero por qué tanto «si queremos»? Pues al hablar del hecho de darse de baja del servicio. Es decir, se señala que si hemos decidido abandonar el servicio, lo primero a hacer es recuperar los archivos subidos, ya que una vez comunicada la intención de marchar, puede, si MEGA quiere, eliminar esa información. Por otro lado, si MEGA nos suspende el uso del servicio, ya bien porqué nosotros o tercero al que hemos permitido el acceso han vulnerado los términos y condiciones en algún sentido, podemos quedarnos sin la posibilidad de acceder a los archivos durante ese período de suspensión. Si MEGA quiere, ojo. Además, si MEGA en lugar de suspendernos el servicio directamente nos lo da por finalizado, por la misma razón que antes, puede, si quiere, eliminar de forma inmediata nuestros archivos. Finalmente, si MEGA debe cerrar por «otras razones» (supongo que se refieren a un Megaupload 2), y si es factible y la Ley no lo impide, nos dará 30 días para recuperar los archivos subidos. «Si quiero…, si quiero…, si quiero…», seguridad jurídica ante todo.
  • Si decidimos adoptar alguna de las modalidades de pago de MEGA, algunos detalles a tener en cuenta. Para empezar aceptamos no retrasar los pagos ni reclamar compensaciones a no ser que contemos con el consentimiento por escrito de MEGA. Si por un casual no pagamos en plazo, MEGA puede suspender o dar por finalizado el uso del servicio y además cobrarnos un interés del 10% por año calculado a un intervalo diario, desde la fecha cuando el pago era debido hasta cuando ha sido realizado. Además deberemos pagar todos los gastos y costes ocasionados a MEGA por intentar recuperar el importe indebido. Si decidimos darnos de baja, que puede hacerse en cualquier momento y para lo que hay que enviar un mail, no recuperaremos nada de lo pagado. Ni aunque haga 60 minutos que completamos el alta…
  • En cuanto al contenido que ambas partes ponen en manos de la otra y las correspondientes licencias, MEGA proporciona al usuario una licencia no transferible, no exclusiva y mundial para usar y acceder el servicio. Por su parte, el usuario proporciona a MEGA, en relación al contenido subido, una licencia mundial, no transferible (si no media autorización escrita) y gratuita para usar, almacenar, realizar back-ups, copiar, transmitir, distribuir, comunicar y hacer viable la puesta a disposición de los datos y de esta forma dar el servicio.
  • En materia de propiedad intelectual, además del aviso específico ya indicado (que en realidad es la cláusula 19 de las Condiciones de Uso en un documento a parte), se dedica también la condición número 20. Se indica que obviamente no está permitido usar el servicio para infringir la propiedad intelectual, se establece un sistema para avisar de infracciones y presentar a su vez alegaciones contra esos avisos (en este sentido se señalan previsiones extra si la disputa es en el marco de la DMCA norteamericana). Pero ojo porque entre toda esta estructura tan regulada, MEGA se reserva el derecho a eliminar archivos supuestamente infractores sin avisar, a su discreción y sin ninguna responsabilidad para el usuario. De darse las circunstancias apropiadas (no sabemos cuáles son, no se indican), se dará por finalizada la cuenta si somos un infractor reincidente (no se define el concepto «reincidente»). ¿No se suponía que la información cifrada únicamente la veía quien la subía? ¿Entonces cómo me echarán por supuestas infracciones?
  • Si vulneramos los términos y condiciones de MEGA, ésta en cualquier momento y sin aviso previo alguno, puede dar por finalizada nuestra cuenta si somos usuario registrado y nuestro acceso al servicio si no estamos registrado o somos un grupo de usuarios. Es francamente interesante que MEGA pueda limitarnos el acceso a su servicio sin haber establecido mayor relación con ellos que hacer clic en un enlace… Por cierto, los actos de Dios son también aquí contemplados como posible causa de fuerza mayor.
  • Ojo con emplear MEGA para manejar código o software, ya que se prohíbe la exportación, importación o transferencia de ese tipo de archivo si tiene como destino cualquier país que haya sido objeto de embargo por EE.UU. o Nueva Zelanda o que esté en alguna lista negra de esos dos gobiernos. Lo que no es tan fácil de controlar si uno comparte un enlace público. Tampoco vale utilizar MEGA para el diseño, desarrollo o manufacturación de misiles o armas nucleares, químicas o biológicas. Es decir, que lo del cifrado no está para hacer de malhechor.
  • ¿Qué información personal recopila MEGA? Todos los datos solicitados en el formulario de inscripción, logs de actividad, datos relativos al tráfico y uso del sitio por el usuario, cualquier otra métrica relacionada con la prestación del servicio que pueda surgir, IP’s y correspondientes registros de acceso y, teóricamente, cualquier dato personal que pudiera encontrarse entre la información subida al sistema (en principio esta previsión es relativa a la info de registro, pero ya se dice que no se limita a esa información). También MEGA recoge información no-personal, vía cookies o tecnologías similares por ejemplo (no se entra en detalle). Lo curioso es que justo a continuación de indicar eso habla de las cookies como herramienta para recolectar información personal, ¿cómo quedamos pues, son para captar info personal o no-personal?
  • MEGA contempla la opción de publicidad en el servicio, tanto las Condiciones de Uso en el punto 35.4.2 como la Política de Privacidad al hablar de la información no-personal recopilada o la finalidad de captar datos de carácter personal. Por tanto que nadie se extrañe si comienza a ver anuncios a lo largo del año mientras usa MEGA.
  • Nuestra información, tanto la personal como los archivos asociados a la cuenta y subidos al servicio, pueden ser compartidos por MEGA con las «autoridades» (no se define tal concepto), si lo considera necesario para por ej. imponer sus términos y condiciones o si le obliga la ley. En cualquier otro caso la información no será vendida más allá de los proveedores de servicio o resellers autorizados. Por otro lado, si deseamos acceder a esa información, podemos solicitarlo pero nos pueden cobrar por el coste de la gestión. Veo que eso de ganar dinero con el ejercicio del derecho de acceso se está poniendo de moda…
  • En caso de controversia con MEGA, importante en especial para las empresas que contraten con ellos, quedamos sometidos a la legislación y jurisdicción de Nueva Zelanda, concretamente a un arbitraje de Derecho que necesariamente será en inglés y quizá permita el uso de videoconferencia.

Visto lo visto, no me parece que los términos y condiciones de MEGA sean tan extraordinarios legalmente hablando. Es decir, se ha dicho mucho que MEGA era un servicio a prueba de balas jurídicas, y sí, en parte lo es, pero porque en poco se parece a Megaupload. O lo que es lo mismo,  MEGA es como un Dropbox/SkyDrive/GoogleDrive dopado con la particularidad de incluir de forma muy sencilla el cifrado de los datos subidos.  Nada que no se pueda hacer con uno de esos servicios. MEGA en teoría no ve lo subido o descargado por que el archivo sube o baja cifrado, pero a cambio el usuario debe elegir una contraseña muy fuerte ya que sino será carne de cañón de técnicas varias. Ahora bien, si pierde u olvida esa contraseña la cuenta se va al limbo, ya que es irrecuperable y MEGA nada puede hacer por resetear la contraseña. Es un Quid Pro Quo interesante el planteado y dará casos muy curiosos, por ejemplo un atacante que gane acceso exclusivo e irreversible a la cuenta de un usuario.

Luego, nada tiene que ver MEGA con Megaupload ya que no cabe la previsualización o streaming de archivos (que era uno de los grandes problemas legales de Megaupload), ahora hay límites en cuanto al tráfico que puede generar un usuario (antes tampoco existía eso) y se ha limitado bastante que un archivo pueda estar multiplicado a través del sistema. Además, MEGA se descarga mucha responsabilidad, o eso pretende al menos, al indicar que si el archivo es compartido más allá del servicio vía un enlace público: 1) el usuario que comparte está obligado a dar su clave de cifrado y él se hace responsable de ese hecho y del proceso en sí; y 2) el tercero que descarga el archivo, aunque no tenga cuenta con MEGA, pasa desde ese momento a aceptar sus términos y condiciones y puede ver cortado el acceso al servicio o ser responsable por simplemente haber hecho clic en el enlace.

Lo mejor de todo es el punto retorcido del sistema planteado y aceptado por el usuario. Es decir, debo adoptar una contraseña muy fuerte y mantenerla segura. Ahora bien, si quiero compartir públicamente un archivo, necesariamente debo dar mi clave de cifrado «al mundo», algo que podría valorarse como inseguro. O lo que es lo mismo, empleando una característica del servicio, podría estar técnicamente incumpliendo las Condiciones de Uso al no mantener segura mi contraseña. De modo que si algo va mal con el contenido presentado al final de un enlace público, MEGA podrá argumentar muchas veces que la responsabilidad es del usuario, que así lo aceptó y además puso en riesgo la clave de cifrado al compartirla potencialmente con todo el mundo, cuando había aceptado mantenerla segura. Lo dicho, un sistema algo retorcido.

Por tanto sí, MEGA en lo que les ha interesado es bastante seguro jurídicamente, pero a base de reducir el concepto Megaupload a la mínima expresión y a la vez cargarle al usuario una parte importante de la responsabilidad si algo sale mal. Así también lo hago yo…

En cualquier caso, como hemos visto hay bastantes aspectos cuestionables sobre los términos y condiciones y sólo con las previsiones de la Política de Privacidad ya habría para abrir unos cuentos frentes interesantes.

Supongo pero que esto justo acaba de comenzar. ¡Feliz cifrado!

—–

1 reply on “MEGA – 13 Detalles sobre sus términos y condiciones”

Comments are closed.