Aplicaciones para dispositivos móviles (Apps)

La telefonía móvil ha sido la tecnología con mayor velocidad de penetración en la sociedad de la historia. Existen cientos de miles de aplicaciones móviles disponibles en los distintos “stores” o tiendas de aplicaciones para cada tipo de dispositivo inteligente de cierta popularidad.

Entendemos por aplicaciones móviles (Apps) los programas informáticos generalmente concebidos para un cometido concreto y dirigido a un determinado conjunto de dispositivos inteligentes como teléfonos inteligentes, tabletas o televisores conectados a internet.

Las aplicaciones pueden recoger grandes cantidades de datos a partir de los dispositivos donde están instaladas (por ejemplo, datos almacenados por el usuario en su dispositivo o datos de distintos sensores como la ubicación) y procesarlos para proporcionar servicios nuevos e innovadores al usuario de las mismas. Por tanto, las Apps no solo ruedan dentro del SmartPhone sino que también están haciendo llamadas a bases de datos, a sistemas de información y están captando información que extraen del Smartphone y se llevan a su enorme base de datos que después tratarán.

Utilizar una App obliga a garantizar los derechos fundamentales del del usuario, por lo que podemos diferenciar dos tipos de responsabilidades en el tratamiento de sus datos: responsable (RT) o encargado (ET) del tratamiento, según a quién va dirigida la prestación de servicios:

• La empresa propietaria de la App:
  • será RT si presta los servicios directamente a usuarios para uso particular o doméstico
  • será ET si contrata la App a otras empresas para que éstas presten los servicios a sus usuarios finales.
• La empresa que contrata la App:
  • será RT cuando los servicios prestados van dirigidos a usuarios finales (interesados), por ej. clientes, pacientes, alumnos, empleados, etc.
  • será ET cuando vayan dirigidos a empresas o profesionales para que estas presten los servicios a sus usuarios finales.
• En cualquier caso, solo será RT la empresa que preste los servicios directamente a los usuarios finales (interesados).

Los principios fundamentales relativos al tratamiento de datos personales regulados en el artículo 5 del GDPR nos obligan a hacernos una serie de preguntas: para qué finalidades vamos a tratar los datos personales, qué legitimación tenemos para ello, cual es el alcance de este tratamiento, etc.

Todas las decisiones que tienen que ver con la finalidad van a definir la información proporcionada a los usuarios sobre el tratamiento de sus datos personales (art. 13 y 14 GDPR) y si es conveniente ofrecer dicha información por capas (art. 11 LOPDGDD) para su mayor claridad y transparencia.

El RT que utiliza una App para cualquier gestión o servicio con sus clientes, pacientes, empleados…, donde la finalidad requiera que estos últimos incorporen sus datos personales a la App, podrá facilitar la información del tratamiento de las siguientes maneras:

• en un enlace, link o hipervínculo en la política de privacidad en la tienda de aplicaciones, por ejemplo, Google APPS.
• en la propia App con iconos, un texto breve y enlace.
• en una sección de la política de privacidad de su web.

Qué información hay que facilitar en cualquiera de los sitios antes mencionados:

• Responsable: identificación del RT. En aquellos casos de RT establecidos fuera de la UE y que ofrecen sus aplicaciones para usuarios en Europa, deben haber designado un representante en la UE e identificarlo.
• Finalidad: descripción de los fines del tratamiento, incluso elaboración de perfiles. Incluyendo el plazo durante el cual se conservarán dichos datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
• Legitimación: detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo.
• Destinatarios: informar de la existencia de cesiones o transferencias internacionales de datos.
• Derechos: proporcionar a los usuarios información sobre el ejercicio de sus derechos y proporcionar mecanismos y procedimientos para ejercerlos de forma efectiva.
  • Derecho a solicitar el acceso a los datos personales relativos al interesado
  • Derecho a solicitar su rectificación o supresión
  • Derecho a solicitar la limitación de su tratamiento
  • Derecho a oponerse al tratamiento
  • Derecho a la portabilidad de los datos

Cómo debe proporcionarse la información:

• Completa y fácilmente accesible, tanto en la tienda de aplicaciones, en su caso, como en la propia aplicación.
• En lenguaje claro y sencillo, de forma concisa, transparente, inteligible, y adaptada al interesado o usuario potencial de la aplicación.
• Sin utilizar cláusulas ambiguas o vacías.

Cómo obtener el consentimiento:

• El consentimiento se debe solicitar de forma granular, es decir, de forma independiente para los distintos tratamientos y finalidades.
• La instalación y utilización de la App no puede estar condicionada a la obtención de un consentimiento para un tratamiento no necesario para proporcionar el servicio definido en la misma.
• Se debe indicar los permisos que puede solicitar la aplicación (directamente o a través de bibliotecas de terceros) para el acceso a datos y recursos, para qué tratamientos y finalidad se solicitan los consentimientos y con qué extensión (lectura, escritura, …).

Prácticas más habituales para tener en cuenta:

• La privacidad por defecto, es decir, que sea el usuario el que active las distintas opciones, por ejemplo la posibilidad de geolocalización, acceso a galería de imágenes, ... y que no estén activadas por defecto.
• Respetar las preferencias del usuario en cuanto a privacidad, por ejemplo, en cuanto a la personalización de anuncios, evitando, en su caso, el acceso incluso a identificadores de publicidad.
• Evitar el acceso a identificadores globales únicos junto al identificador de publicidad del dispositivo, lo que permitiría hacer asignaciones que permiten dejar sin efecto medidas de protección del usuario como cambiar su identificador de publicidad.
• Evitar la difusión de datos personales hacia servicios de analítica y publicidad desde el mismo momento en que se inicia la aplicación, sin que el usuario mismo haya podido hacer ningún uso o ajuste.
• Comprobar que no hay difusión de datos personales sin conocimiento del RT, al tratarse de comunicaciones iniciadas desde librerías de terceros utilizadas por el desarrollador para ampliar la funcionalidad de la aplicación o rentabilizarla económicamente.
• Evitar la cesión de datos personales hacia destinatarios no especificados o informados en la política de privacidad, que tengan el rol de RT o CoRT (corresponsables).
• Evitar transferencias internacionales de datos no declaradas en la política de privacidad.
• Utilizar métodos avanzados para el cifrado de las comunicaciones supone una garantía adicional para la privacidad de los usuarios a considerar dependiendo de las características del tratamiento de datos.

Directrices para responsables de tratamiento:

Los RT que encarguen el desarrollo, puesta en producción y/o explotación de aplicaciones a terceras partes (ET) con acceso a datos personales, deben asegurarse de cumplir los requisitos de responsabilidad activa recogidos en el GDPR, asegurándose además que el ET únicamente trata los datos de acuerdo con sus instrucciones y tomando medidas para asegurarse de que así sea. (art. 28 GDPR)

Seguridad en la App móvil:

• Habrá que tener un modo de desactivar el acceso remoto a la App desde un sistema cuando el usuario haya perdido el dispositivo y necesite evitar que un tercero acceda a su información.
• Permitir a los usuarios retirar su consentimiento en cualquier momento y desinstalar la aplicación cuando lo consideren conveniente.
• Realizar auditorías y/o llevar a cabo análisis que permitan determinar si las aplicaciones móviles y protección de datos personales se están llevando de conformidad con el GDPR y la LOPDGDD.
• Adoptar las medidas de seguridad necesarias en función del riesgo del tratamiento.
• Controlar que se respeten los límites legales de edad establecidos en las legislaciones nacionales, en cuanto a utilización de aplicaciones por menores.

REFERENCIAS BIBLIOGRÁFICAS

• AEPD: El deber de informar y otras medidas de responsabilidad proactiva en APP para dispositivos móviles:
  • https://www.aepd.es/documento/nota-tecnica-apps-moviles.pdf
• GT29, Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes, WP 202, 16 de septiembre de 2014:
  • https://www.aepd.es/sites/default/files/2019-12/wp202_es.pdf
• GDPR: Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
• LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• LSSI: Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.