Desde Grupo Adaptalia analizamos las obligaciones de las aplicaciones móviles y protección de datos
La Agencia Española de Protección de Datos (AEPD), ha publicado recientemente (7 de marzo de 2019) el estudio “Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva” que delimita las obligaciones formales de las aplicaciones móviles y protección de datos.
La inmensa mayoría de las apps recaban datos de carácter personal de sus usuarios, ya sea proporcionados directamente por éstos a través de formularios o encuestas; o ya sea mediante la incorporación de sensores de distinta naturaleza (sensores que miden la distancia andada, cámara, GPS, micrófono…)
El uso de estas aplicaciones implica que si hay un tratamiento de datos personales, se deberá cumplir con las premisas del Reglamento General de Protección de Datos (en adelante RGPD).
No obstante, el análisis del estudio realizado por la AEPD puede resultar preocupante puesto que menos del 30 % de las aplicaciones móviles contenían políticas de privacidad completas, de manera que con carácter general no se informaba correctamente al usuario sobre aspectos tan invasivos como la geolocalización del mismo, la utilización de nuestra agenda de contactos o incluso sobre el acceso a nuestra galería fotográfica en las aplicaciones móviles y protección de datos.
1. ¿Entes involucrados y sus responsabilidades en las aplicaciones móviles y protección de datos?
Antes de delimitar qué concretas medidas deben instalarse en las apps, deberemos analizar los principales organismos vinculados al desarrollo de aplicaciones móviles y privacidad.
Según los principios del RGPD en la creación, desarrollo y publicación de una aplicación móvil podremos identificar los siguientes roles:
- Usuario: es la persona física cuyos datos de carácter personal serán objeto de tratamiento en la aplicación móvil.
- Responsable del tratamiento: será la persona física u organización que fija y delimita las finalidades del tratamiento en las aplicaciones móviles y protección de datos. Es indiferente que delegue el desarrollo del software en un tercero externo o en un proveedor ajeno donde almacene sus servicios.
- Encargado del Tratamiento: será la persona física u organización que procede datos por cuenta del Responsable. En el ecosistema móvil, se traduce en toda persona u empresa que preste un servicio de desarrollo, alojamiento o almacenamiento por cuenta de un Responsable.
Por ejemplo, en una app de servicios de películas en streaming la empresa propietaria de la aplicación será la Responsable del tratamiento, y la empresa encargada de alojar las películas en la nube será la Encargada del tratamiento.
2. ¿Medios para informar al usuario?
Actualmente se pueden utilizar numerosos canales para informar a los usuarios en las aplicaciones móviles y protección de datos.
La multidisciplinaridad de canales y de formas de información se debe principalmente a la diversidad de usuarios y de finalidades:
- Política de Privacidad: contienen toda la información sobre el tratamiento de datos que debe facilitarse a los usuarios según el RGPD y la LOPDGDD. Suelen incluirse mediante un link que el usuario pulsa de manera previa a la instalación de la aplicación. Según recomendaciones de la AEPD la mayoría de políticas de privacidad analizadas en el estudio eran complejas e incomprensibles por el destinatario de la información. Éstas deben ser simples y sencillas, dirigidas a asegurar el entendimiento íntegro del usuario final.
- Descripciones textuales: se utilizan para definir la funcionalidad de la aplicación y ganar usuarios. De manera que suelen utilizar un lenguaje claro. Sin embargo, como el análisis de la AEPD indica, menos del 30 % de las descripciones textuales informan sobre el uso de la localización.
- Pop up/notificaciones: son cuadros de diálogo que remiten mensajes breves para informar a los destinatarios cuando un tratamiento resulta más invasivo a su privacidad. El ejemplo más claro, es el de la localización geográfica que requiere consentimiento expreso del usuario.
3. ¿Cómo cumplir con el RGPD en las aplicaciones móviles y protección de datos?
Los explotadores de una aplicación, los desarrolladores del software de la misma, o incluso los distribuidores de apps, tienen la obligación de cumplir con el principio de responsabilidad proactiva previsto en el RGPD. Ello significa que deben cumplir con los siguientes puntos:
- En el caso del Responsable, cumplir con las obligaciones que el RGPD y la LOPDGDD establecen para los Responsables del Tratamiento (Por ejemplo: realizar el correspondiente Registro de las Actividades del Tratamiento).
- Informar debidamente al usuario acerca del tratamiento de sus datos de carácter personal y solicitar el consentimiento expreso del mismo para las finalidades específicas de la app. Aquí entraría en juego el principio de minimización de datos, no pudiendo utilizar datos para finalidades que excedan la finalidad principal de la aplicación. Por ejemplo, no sería lícito solicitar el consentimiento para el acceso a la cámara fotográfica si no es estrictamente necesario para garantizar el pleno funcionamiento de la aplicación.
- Permitir a los usuarios suprimir su consentimiento y desinstalar la aplicación cuando lo consideren conveniente.
- Realizar auditorías y/o llevar a cabo análisis que permitan determinar si las aplicaciones móviles y protección de datos se están llevando de conformidad con el RGPD y la LOPDGDD.
- Adoptar las medidas de seguridad necesarias en función del riesgo del tratamiento.
- Facilitar a los usuarios el ejercicio de sus derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación y no ser objeto de decisiones individuales automatizadas de manera sencilla y gratuita.
- Controlar que se respeten los límites legales de edad establecidos en las legislaciones nacionales, en cuanto a utilización de aplicaciones por menores.