Las Autoridades europeas de protección de datos aprueban el primer dictamen conjunto sobre aplicaciones móviles

Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) han aprobado el primer dictamen conjunto sobre la privacidad en las aplicaciones móviles, en el que se analiza la incidencia y los riesgos que plantean para la protección de datos. En el Dictamen se detallan las obligaciones específicas tanto de los desarrolladores de aplicaciones como del resto de actores que intervienen en el desarrollo y la distribución de las mismas. En ese ecosistema se incluyen, además de los creadores de apps, las tiendas de aplicaciones, los fabricantes de sistemas operativos y dispositivos y los proveedores de servicios publicitarios. El Dictamen también presta una atención especial al uso de estas aplicaciones por parte de menores.

Las Autoridades recuerdan que el marco legal aplicable a cualquier app dirigida a los usuarios europeos es la Directiva de Protección de Datos 95/46, en combinación con la Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas. En particular subraya la necesidad de obtener el consentimiento informado y previo del usuario. Este marco normativo es aplicable con independencia de dónde esté ubicado el desarrollador de la aplicación o la tienda que la comercialice, debido a que estos programas recurren a medios ubicados en la Unión Europea, como son los propios terminales de los usuarios.

Las tiendas de aplicaciones reciben más de 1.600 apps nuevas cada día, y de media, un usuario de un smartphone se descarga 37. Las aplicaciones pueden recopilar enormes cantidades de datos personales a través del acceso, por ejemplo, al álbum de fotos, a la libreta de direcciones o a los datos de localización.

RIESGOS PARA LA PRIVACIDAD

Las Autoridades destacan el riesgo que para la protección de datos supone el elevado número de agentes que intervienen en el ecosistema móvil. Cada uno de ellos tiene una responsabilidad para con sus usuarios en el ámbito de la privacidad. Pese a que los desarrolladores de aplicaciones persigan el objetivo de ofrecer servicios nuevos e innovadores, es necesario tener presente que sus apps pueden plantear importantes riesgos para la vida privada de los usuarios de dispositivos inteligentes si no cumplen la legislación sobre protección de datos de la UE.

La mayoría de las conclusiones y recomendaciones del Dictamen se dirigen a los desarrolladores de aplicaciones (ya que son los que tienen un mayor control sobre cómo se gestiona y presenta la información dentro de la aplicación) pero, en ocasiones, también es necesario que colaboren con el resto de actores, que a su vez tienen sus propias obligaciones.

En el Dictamen se abordan cuestiones fundamentales para la protección de la privacidad, tales como el consentimiento informado y previo del usuario, el principio de limitación de la finalidad para la que se recoge la información, la minimización de la misma, la necesidad de tomar las medidas adecuadas de seguridad, la obligación de informar correctamente a los usuarios finales sobre sus derechos, los períodos de retención de datos y, específicamente, el correcto tratamiento de los datos recogidos en el caso de menores.

OBLIGACIONES. CONSENTIMIENTO INFORMADO Y ESPECÍFICO

El Dictamen destaca que no todas las aplicaciones informan adecuadamente sobre el tipo de datos que la aplicación puede procesar y con qué fines. En este sentido, un reciente estudio refleja que sólo el 61% de las 150 aplicaciones más descargadas cuenta con una política de privacidad. En lo que respecta al consentimiento, que constituye la base jurídica para permitir que una empresa trate los datos personales del usuario, las autoridades subrayan que a menudo este se reduce a una casilla de verificación que indica que el usuario acepta los términos y condiciones aplicables, sin ofrecer una opción que permita rechazarlas. Según un estudio realizado por GSMA, al 92% de los usuarios de apps les gustaría que se les ofreciese la opción de elegir a qué funciones de su terminal puede acceder la aplicación y a cuáles no.

A juicio del Grupo, los usuarios deben poder controlar sus propios datos personales. Por ello, los desarrolladores de aplicaciones deben proporcionar información suficiente sobre los datos que van a tratar antes de hacerlo, de forma que puedan obtener un consentimiento válido.

El documento puntualiza que el usuario no debe enfrentarse a una pantalla cuya única opción es la de “Sí, acepto”. También debería mostrarse un botón que permitiera cancelar la instalación. Además, el usuario tiene que poder conocer a qué información va a acceder el desarrollador de la app antes de instalarla. En este sentido, los fines del tratamiento de esos datos tienen que estar bien definidos y deben ser comprensibles para un usuario medio, excluyéndose los cambios repentinos en las condiciones del servicio.

El Dictamen destaca que el hecho de hacer clic en el botón ‘Instalar’ no implica necesariamente un consentimiento válido para el tratamiento de datos personales si no va acompañado de suficiente información, tanto sobre las condiciones de ese tratamiento como sobre el hecho de que al pulsar ‘Instalar’ se presta el consentimiento para tratar los datos en esas condiciones.

DERECHOS DE LOS USUARIOS

El responsable del tratamiento de los datos debe informar sobre quién es, qué datos va a recopilar, para qué usos o finalidades, si esa información será cedida a terceros y la forma que tiene el usuario para revocar su consentimiento y cancelar sus datos. El Dictamen subraya que los usuarios de aplicaciones deben poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Por su parte, el creador del sistema operativo también desempeña un papel importante, por ejemplo, avisando al desarrollador de la app de que la aplicación ha sido desinstalada, ya que, en principio, no existe fundamento legal que justifique que el desarrollador de la app continúe con el tratamiento de datos personales después de que el usuario haya desinstalado la aplicación.

MENORES

Hay un gran mercado de aplicaciones destinadas a los menores, un colectivo particularmente sensible que tiene poca conciencia sobre los datos que facilita. El Dictamen pone de manifiesto que los responsables de recoger datos deben prestar atención a los límites de edad vigentes en las legislaciones nacionales. En el caso de España, la legislación no permite el tratamiento de datos de menores de 14 años sin el consentimiento de padres o tutores.

Debido a la vulnerabilidad de este público, y teniendo en cuenta que los datos personales deben ser tratados de manera leal y lícita, los responsables deben respetar aún más estrictamente los principios de minimización de los datos y limitación de la finalidad. En concreto, no deberían procesar datos de menores con fines publicitarios y deben abstenerse de recopilar información acerca de los padres o familiares. Además, los términos y condiciones de uso de las aplicaciones orientadas a menores deben estar redactadas de forma sencilla, en un lenguaje específico para su edad.

Dictamen íntegro con las obligaciones y recomendaciones para desarrolladores de apps, tiendas, fabricantes de dispositivos y creadores de sistemas operativos, y terceras partes implicadas.

GRUPO DE TRABAJO DEL ARTÍCULO 29

El grupo de autoridades europeas de protección de datos -Grupo de Trabajo del Artículo 29- es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Sus funciones están descritas en el Artículo 30 de la Directiva 95/46/EC y el Artículo 15 de la Directiva 2002/58/EC. El Grupo de Trabajo del Artículo 29 está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.