¿Cómo cumplen las Apps con la protección de datos?

Pero para centrarnos, ¿qué es una Apps? Según Wikipedia, es una aplicación informática diseñada para ser ejecutada en teléfonos inteligentes y tabletas.

Y es que, a raíz del COVID-19, se ha producido una aceleración en cuanto al uso de las tecnologías; desde el año 2020 ha habido un espectacular aumento de la demanda de ciertas categorías de aplicaciones móviles. El número de descargas de aplicaciones de videoconferencia como Teams de Microsoft, Meet de Google y Zoom se han disparado, hasta el punto que hubo un momento en que la capitalización de Zoom superó a la de Boing.

Sin duda, la pandemia ha hecho que las empresas pierdan el miedo a la transformación digital y que aumente la preocupación por la privacidad porque es un tema que se descuidó durante varios años, cuando todo el “mundo” de desarrollos de apps se centraba únicamente en el crecimiento. Las cosas han cambiado definitivamente: en 2022 los desarrolladores de aplicaciones tendrán que tener en cuenta la cuestión de la privacidad de sus usuarios y abordar la cuestión de la captación, el almacenamiento y el procesamiento de la información de los usuarios. Tanto el RGPD como el creciente número de normativas (por ejemplo, estadounidenses) han establecido el estándar para la privacidad de los usuarios de aplicaciones móviles.

Actualmente sois muchos los clientes que nos preguntáis por estas aplicaciones y en concreto, por los requisitos que han de cumplir a la hora de pensar en su legalidad.

Normativa vigente para protección de datos en apps móviles

Las normativas que definen la protección de datos en una app son:

  • RGPD (Reglamento General de Protección de Datos)
  • LOPDGDD(Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales)
  • LSSI (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico)

¿Cómo deben cumplir los desarrolladores con la protección de datos en las aplicaciones móviles?

Es obvio pensar que al instalar una app en nuestro móvil vamos a ceder gran cantidad de datos de carácter personal; por este motivo, las autoridades europeas de Protección de Datos ratificaron el primer informe que aclara el marco jurídico aplicable al uso de apps para dispositivos inteligentes. Concluyendo que resulta plenamente aplicable la normativa sobre Protección de Datos a los desarrolladores de aplicaciones móviles.

Los desarrolladores deben cumplir la legislación de Protección de Datos en apps principalmente en los siguientes aspectos:

  1. Estipular los aspectos esenciales para la protección de la privacidad, tales como el consentimiento informado y previo del usuario.
  2. Incluir el principio de acotación del propósito para la que se recoge la información.
  3. Obligación de informar correctamente a los usuarios finales sobre sus derechos o sobre los plazos de conservación de datos.

Consentimiento para obtener los datos del usuario

En primer lugar, al realizar la instalación de la aplicación, se introduce información en el dispositivo móvil e incluso muchas aplicaciones acceden a datos del dispositivo como agenda, fotografías, videos, etc. Para ello se exige el consentimiento del usuario y debe facilitársele información clara y completa sobre ese acceso.

El usuario debe tener la opción «cancelar» o poder detener la instalación de otra forma y no solamente la opción de “Sí, acepto” para finalizar esa instalación.

Durante el uso de la aplicación no será necesario un nuevo consentimiento del usuario salvo que se produzca el tratamiento de datos sensibles de carácter personal.

Finalidad del tratamiento

La finalidad del tratamiento de los datos debe estar bien definida y ser comprensible por el usuario sin necesidad de conocimientos jurídicos o técnicos específicos.

No se deben recoger datos que no se vayan a usar ni usar los recogidos para fines distintos a los indicados. Es fundamental, por tanto, que exista información y supervisión por el usuario.

La mayoría de aplicaciones ofrecen muy poca información de por qué recopilan información personal y para qué la utilizan o no han adaptado la política de protección de datos para ser leídas en pequeña pantalla e incluyen extensas políticas que obligan a desplazar el texto por la pantalla o a hacer clic en varias páginas.

Seguridad en los datos personales de las aplicaciones móviles

Las aplicaciones deben cumplir las obligaciones en materia de seguridad para permitir a los usuarios un mayor control de sus datos y aumentar la confianza en las entidades que procesan esos datos.

Al diseñar una aplicación se debe establecer dónde se almacenarán los datos de los usuarios y definir una política de elaboración y distribución de sus programas. A causa de la información que utilizan y a los recursos que acceden es preciso efectuar una auditoría de seguridad de las aplicaciones móviles utilizadas en la empresa identificando los recursos que administra la aplicación móvil, los datos que se almacenan en el teléfono móvil o en el tablet, y qué información se transmite.

Información al usuario

El usuario tiene derecho a ser informado de la identidad del encargado del tratamiento de sus datos personales, de qué tipo de datos están siendo tratados y con qué finalidad. El responsable del tratamiento correspondiente deberá comunicar a los usuarios potenciales, como mínimo:

  • Quiénes son (identidad y datos de contacto)
  • Las categorías concretas de datos personales que el desarrollador solicitará y tratará
  • Los objetivos precisos de ese tratamiento
  • Si los datos se comunicarán a terceros

Los medios que tienen los usuarios para ejercer sus derechos.

Esa información sobre el tratamiento de datos debe estar disponible para el usuario antes de instalar la aplicación y debe ser accesible desde dentro de la aplicación, una vez instalada.

La aplicación debe informar de forma clara y visible a los usuarios de la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y de cómo ejercerlos. Se debe indicar ante quién y cómo pueden ejercerse esos derechos.

Conservación de los datos

Al desarrollar una aplicación se debe considerar la conservación de los datos recogidos y los riesgos que surgen para la protección de esos datos. Los plazos de conservación dependerán de la finalidad de la aplicación y de la importancia de esos datos para el usuario.

Por último, paso a enumerar unas directrices para aplicaciones móviles:

  • Informar sobre la política de privacidad, tanto en la propia app como en la tienda desde la que se va a descargar.
  • Mostrar la política de privacidad en un lugar fácilmente accesible al que se puede llegar en un máximo de dos clics. Preferentemente en un apartado separado y exclusivo.
  • Adaptar el lenguaje utilizado en las políticas de privacidad al usuario tipo al que va dirigida la app, especialmente en el caso de menores de edad.
  • Centrar la información en aspectos concretos y específicos del servicio, evitando un exceso de información accesoria que pueda causar fatiga informativa.
  • Indicar los permisos que solicita la app, y con qué objetivo.
  • No usar el consentimiento otorgado por el usuario para otros tratamientos que no sean los necesarios para ofrecer el servicio.
  • Huir de cláusulas ambiguas o información poco clara.
  • Informar acerca del plazo de tiempo durante el que se conservarán los datos del usuario.
  • Brindar información acerca de cómo ejercer los derechos.