Recomendaciones sobre Protección de Datos para desarrolladores de apps (1/2)
Categorías: Abogados LOPD / Derechos Fundamentales / Intimidad / LOPD / Privacidad / Protección de Datos / Tecnología / Unión Europea
Gracias al desarrollo tecnológico, son cada vez más las personas que disponen de un smart device y pueden acceder a miles de apps que tienden a facilitar sus vidas. La interacción entre el usuario, el smart device y la app, es en ocasiones impensable sin el acceso o el almacenamiento de datos de carácter personal en las mismas; por tanto es cuando menos conveniente, que fabricantes, desarrolladores de apps, App Stores y terceros, tengan presente la normativa europea de protección de datos para operar dentro de nuestras fronteras.
En este sentido, el pasado 27 de febrero el Grupo de Trabajo del Artículo 29 adoptó una Opinión tremendamente útil, ya que señala entre otras cuestiones, los riesgos existentes para la intimidad del usuario, el marco legal aplicable, así como un buen número de recomendaciones con las que los desarrolladores y demás sujetos deberían de cumplir, en orden a garantizar la integridad de los derechos fundamentales de los ciudadanos europeos.
Tanto las apps como los propios smart devices pueden recoger una gran cantidad de datos (de localización, de los sensores, los que almacena el titular, etc.) para mejorar la experiencia del usuario. En este sentido, el Grupo de Trabajo considera que la falta de transparencia, la falta de consentimiento libre e informado, las débiles medidas de seguridad y el desconocimiento de la finalidad de la recogida de datos, se erigen como auténticos riesgos para la integridad de los derechos fundamentales del usuario, tal y como han reconocido la Comisión Federal de Comercio de EE.UU., el Comisionado para la Protección de la Vida Privada de Canadá y el Fiscal General del Departamento de Justicia de California.
El Grupo de Trabajo considera además conveniente destacar el artículo 7 de la Directiva de Protección de Datos, que establece que el tratamiento de datos sólo podrá efectuarse si:
- “el interesado ha dado su consentimiento de forma inequívoca;
- es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o;
- es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o;
- es necesario para proteger el interés vital del interesado, o;
- es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o;
- es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.
Por otro lado, señala se ha de cumplir con el requisito del consentimiento establecido en el artículo 5(3) de la Directiva de ePrivacidad, especificando que éste ha de ser:
- Libre: El titular debe tener la opción de aceptar o rechazar el tratamiento de datos de carácter personal.
- Informado: Antes del tratamiento, el titular debe tener a su disposición la información para formarse un preciso juicio.
- Específico: Se debe informar al usuario sobre los elementos importantes del servicio y se le debe pedir un consentimiento específico para los mismos (la aceptación de los términos y condiciones y/o políticas de privacidad extensas no constituyen un consentimiento específico).
No obstante, especifica que aun cumpliéndose los tres requisitos antes citados, el tratamiento de datos no puede ser excesivo y/o desproporcionado, ya que de ser así, se incumpliría la Directiva de Protección de Datos; y destaca además que se debe dar al usuario la opción de revocar el consentimiento de una forma simple y eficaz.
En cuanto a la recogida de datos durante el uso de la app, se señala que únicamente podrán ser objeto de dicha recogida aquellos datos que sean estrictamente necesarios para el funcionamiento del servicio deseado por el usuario, y que además se debe concretar y éste debe conocer en todo momento la finalidad de la recogida de los mismos.
Por otro lado, se especifica que antes de procederse a la recogida de datos de carácter personal, el usuario debe conocer la finalidad de la misma, y señala además, que se han de recoger los mínimos datos posibles, o únicamente aquellos que sean relevantes para el funcionamiento de la app.
También dice que los terceros que obtengan acceso a los datos del usuario a través de las apps, también deben respetar los principios de limitación de la finalidad y de minimización de datos; ofreciendo a su vez la usuarios, información y mecanismos de control que permitan asegurar dichos principios.
En cuanto a los mecanismos de control, señala que los fabricantes de dispositivos, desarrolladores de Sistemas Operativos y App Stores, deben establecer los siguientes:
- Los fabricantes de dispositivos, desarrolladores de sistemas operativos y App Stores, han de definir reglas acordes a la normativa de protección de datos, de manera que de no cumplirse con las mismas, no se produzca la aprobación de la app.
- Las APIs de los Sistemas Operativos deben establecer métodos que garanticen el acceso a los datos almacenados en el dispositivo que sean necesarios.
- Deben existir controles anteriores a la instalación de la app.
- Se deben implementar controles de forma posterior a la instalación de la app.
En la siguiente entrada nos centraremos de forma más exhaustiva en las conclusiones y recomendaciones por parte del Grupo de Trabajo, en concreto en aquellas destinadas a los desarrolladores de apps.