29 septiembre 2014

La protección de los datos personales en el desarrollo de aplicaciones móviles

Abogacía digital, apps, aplicaciones móviles, dictamen 2/2013
rickyysanne/MorgueFile

El negocio de las aplicaciones (“apps”) para Smartphones está de moda desde hace mucho tiempo y lo va a seguir estando. Los desarrolladores lo saben y están en continua formación sobre el tema. Existen muchos cursos, seminarios y webminarios para desarrollo de apps. En las últimas semanas he tenido oportunidad de ver hasta dos webinarios diferentes de desarrollo de aplicaciones para móviles con tecnologías distintas y he visto anunciados otros tantos eventos del mismo tipo.

Confieso que me interesa el software desde el punto de vista de su desarrollo también y no sólo desde el punto de vista de los aspectos legales implicados pero, al ponerme la “gorra” de abogado, echo de menos que no se traten recomendaciones acerca de la forma de recabar datos personales por medio de dichas aplicaciones o, incluso, la seguridad que debe aplicarse a dichos datos una vez recogidos.

Una aplicación móvil, desde el dispositivo en que está instalada, es susceptible de recoger y tratar bastante información del usuario, entre dicha información puede haber datos de carácter personal de dicho usuario. Por eso el Grupo Europeo de Protección de Datos del Artículo 29 elaboró el “Dictamen 2/2013 sobre aplicaciones para dispositivos inteligentes”, adoptado el 27 de febrero de 2013. Consideraron necesario dicho dictamen, precisamente, por la capacidad de las aplicaciones móviles de recopilar grandes cantidades de datos de los dispositivos de los usuarios, así como, por la capacidad de procesar esos datos para facilitar nuevos servicios al usuario.

Al Grupo 29 le preocupa, y por lo que he visto parece que con razón, lo poco conscientes que son los desarrolladores de aplicaciones sobre los requerimientos que tienen en materia de protección de datos, a efectos de mantener la privacidad, seguridad de los datos, evitar riesgos y la reputación de los usuarios. Existe mucha información disponible en los dispositivos del usuario que son datos de carácter personal.

Si tenemos que identificar los distintos roles que están involucrados en el desarrollo de aplicaciones móviles, el Grupo 29 nos señala a:

  • Los propios desarrolladores de la aplicación (ya sea la empresa que encarga el desarrollo o directamente la que la desarrolla).
  • Los fabricantes del sistema operativo del móvil.
  • Los fabricantes del dispositivo.
  • Las tiendas de aplicaciones (Play Store, AppStore, etc).
  • Otros terceros involucrados (por ejemplo, aplicaciones que incluyen cookies o banners con fines publicitarios).
  • Los propios usuarios finales.

Si tenemos que identificar el tipo de datos que tienen impacto sobre la privacidad de los usuarios finales, estamos hablando de:

  • Datos de localización.
  • Datos de contacto.
  • Datos de identificación único del fabricante (IMEI).
  • Datos de identificación del teléfono.
  • Datos de tarjeta de crédito y medios de pago.
  • Datos de historial del navegador.
  • Datos de email

En definitiva, muchas partes que pueden estar involucradas en el tratamiento de datos y muchos datos relativos al usuario que puede recogerse y tratarse para el efectivo funcionamiento de una aplicación.

Todo ello implica que, al usuario final, se le tienen que dar una serie de garantías legales para poder procesar sus datos, por ejemplo:

  • Recoger su consentimiento, con anterioridad a la instalación de la aplicación y al procesamiento de datos.
  • La información sobre lo que se va a hacer con sus datos, se le tiene que facilitar al usuario de manera clara y comprensible.
  • Debe formarse una idea clara del tratamiento de sus datos y sin ambigüedades.
  • El consentimiento libre implica que, el usuario, pueda aceptar o rechazar el procesamiento de sus datos.

Es interesante que el Dictamen, además, incluye ejemplos de tratamientos excesivos y, por tanto, ilícitos. Por ejemplo, una aplicación consistente en un reloj despertador al que se le puede dar la orden verbalmente para detener la alarma. El consentimiento de registro de voz se limita al tiempo en que la alarma está sonando. Cualquier registro de voz fuera de ese supuesto sería excesivo.

También incide el Dictamen en la seguridad que el desarrollador debe aportar sobre los datos que trata y sobre el sitio en el que se almacenan dichos datos. No es lo mismo que los datos se almacenen en el dispositivo o que los datos se transfieran a un servidor del proveedor de la aplicación. Por eso los desarrolladores deben tener unas políticas de seguridad sobre cómo desarrollan y distribuyen el software. Entre otras cosas, se hace referencia a las políticas de ENISA como guías de seguridad para desarrollo de aplicaciones en móviles.

En vista de lo comentado, creo que es necesario incluir un módulo o tema específico, en la formación para los desarrolladores de aplicaciones, en el que se hable de los derechos de los usuarios de las mismas a la hora de garantizar un adecuado tratamiento de sus datos y con las medidas adecuadas para garantizar su seguridad.

 

Elena Pérez Gómez

Abogada. Directora del área legal en Cohaerentis Consultores.

@elenaperezgomez

http://es.linkedin.com/in/elenaperezgomez

Licencia del post http://creativecommons.org/licenses/by-sa/4.0/

Comparte: