Compliance y Protección de Datos
La protección de datos en las apps y los «wearables»
Un sector interesante en la protección de datos es el de las apps y los wearables. No cabe duda de que hoy en día prácticamente todos usamos dispositivos móviles, smartphones, tabletas, pulseras, relojes inteligentes, etc. con sus apps dinámicas y fáciles de instalar.
Lo cierto es que cada año aumenta exponencialmente el número de apps disponibles en el mercado. En 2017, se lanzaron más de 1,5 millones de nuevas aplicaciones para Android (un 17% más que el año anterior), y 755.000 para iOS, según un estudio realizado por la consultora Appfigures. Muchas de estas apps recogen información de los usuarios que las instalan en sus dispositivos, desde su dirección email hasta su estado de salud, pasando por sus contactos o localización.
Asimismo, en los últimos 5 años, han proliferado los “wearables” o dispositivos que se incorporan a nuestra indumentaria (como relojes, pulseras, gafas) y que utilizan sensores avanzados para obtener información referente a la salud o actividades que realiza el portador.
Aparte de su evidente utilidad, las apps y “wearables”, al tratar datos personales, se encuentran regulados por normativa de ámbito europeo y estatal, (en especial RGPD, LOPDGDD), lo que determina una serie de derechos y obligaciones, respectivamente para usuarios y propietarios de las apps.
Según la normativa de protección de datos, los propietarios de las apps y de los “wearables” son responsables del tratamiento de los datos recopilados de los usuarios que las utilizan y, como tales responsables, tendrán que cumplir con las obligaciones que les vienen impuestas.
En particular, deberán prestar especial atención a:
- Información al usuario: El propietario de la app o “wearable” deberá informar al usuario clara y específicamente del tratamiento que se realizará de sus datos de modo que éste pueda tomar una decisión informada al utilizar la aplicación. Se deberá facilitar la siguiente información:
- La identidad y los datos de contacto de la empresa propietaria de la app o “wearable”.
- Los datos de contacto del delegado de protección de datos, en caso de tenerlo.
- Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
- Los destinatarios o las categorías de destinatarios de los datos personales.
- La intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión o una referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas.
- El plazo de conservación de los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
- Los derechos del interesado de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos.
- El derecho a retirar el consentimiento en cualquier momento
- El derecho a presentar una reclamación ante una autoridad de control;
- Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;
- La existencia de decisiones automatizas, incluida la elaboración de perfiles y la información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
- En caso de que se pretenda realizar un tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente.
Según el Grupo de Trabajo 29 sobre la protección de datos (Guidelines on transparency under Regulation 2016/679),esta información deberá ser dada de un modo fácil de entender, pudiéndose utilizar imágenes, videos, iconos, etc. siempre que esto no haga más difícil de ver el texto, y de forma que no se haga pesado de leer. La aplicación, por lo tanto, podría ofrecer la información por capas, con la información esencial en una notificación inicial y la adicional con un enlace.
- Legitimación del tratamiento: De forma general, la legitimación del tratamiento en las apps y los wearables es el cumplimiento de un contrato. Es decir, tratan los datos para poder ofrecer el servicio. Por ejemplo, la app de Fitbit trata los datos de salud para poder informar a sus usuarios de su ritmo cardíaco, distancia recorrida, etc.
Esta legitimación, sin embargo, sólo sirve para los datos que realmente sean necesarios para la ejecución del contrato, por lo que se requerirá el consentimiento del interesado para tratar otros datos (por ejemplo, en muchos casos se pide el consentimiento para obtener la localización del usuario).
El consentimiento deberá ser dado de forma expresa con una acción activa, de modo que no exista ninguna duda de que el usuario lo ha dado. De acuerdo con el Grupo de Trabajo 29, se puede considerar el movimiento como acción afirmativa, por ejemplo, girar el móvil en el sentido de las agujas del reloj o en una figura ocho o agitar los brazos frente a la cámara, siempre y cuando se informe claramente de que el movimiento en cuestión significa proporcionar el consentimiento. En cambio, el deslizamiento hacia abajo o a través de los términos y condicionescuando aparece una declaración en la pantalla para alertar al usuario de que continuar con el desplazamiento constituirá el consentimiento, no se considerarán como una acción clara ya que se trata de un tipo de acciones habituales y en que se puede perder la alerta al desplazarse rápidamente por el texto.
Otro punto a tener en cuenta es que el consentimiento debe ser dado de forma libre y sin presiones para cada categoría de datos que se vaya a tratar. Si el interesado facilita el acceso a más datos de los necesarios para hacer funcionar la app o “wearable”, se entenderá que no se ha prestado de forma libre.
Asimismo, la app deberá tener las funcionalidades necesarias para dar la opción al interesado de revocar el consentimiento en cualquier momento para cada categoría de datos que se trate.
Finalmente, es importante mencionar el consentimiento en caso los menores de edad. La normativa establece que la edad mínima para que un niño no necesite el consentimiento de los padres es de 14 años. En caso de ser menor, el tratamiento solamente será lícito si se obtiene el consentimiento del titular de la patria potestad o tutela sobre el niño, y sólo en la medida en que se dio o autorizó. En tales casos, el responsable de tratamiento, deberá hacer esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño.
- Protección de datos desde el diseño y por defecto: Los propietarios de las apps deberán tener en cuenta la privacidad durante todo el proceso de desarrollo de los sistemas o procesos que utilicen datos personales y aplicar las medidas técnicas y organizativas de seguridad acordes a los riesgos que puedan surgir (destrucción accidental o deliberada, pérdida, modificación y divulgación o acceso no autorizado a datos personales, transmitidos o almacenados) de modo que las seguridad de los datos esté garantizada.
Alguna de las medidas que se podrían utilizar es la protección de las apps mediante un doble enfoque, consistente en la protección del código fuente a través de métodos de ofuscación y técnicas de cifrado para que sean ilegibles para los hackers que consigan descompilarlos y la integración de mecanismos de autoprotección de aplicaciones en tiempo de ejecución (RASP) para que estén protegidas del análisis dinámico y de los ataques online mediante la supervisión de la integridad del dispositivo en el que se ejecutan.
Asimismo, dependiendo del volumen de datos tratados, la empresa responsable de tratamiento deberá realizar una evaluación de impacto.
- Actuación en caso de brechas de seguridad: Los responsables del tratamiento deberán tener unos protocolos de actuación en caso de brechas de seguridad, en particular en cuanto a la notificación de incidentes a la autoridad de control y a los interesados. El delegado de protección de datos deberá evaluar y documentar el incumplimiento y las medidas y considerar si es exigible informar a la autoridad competente y a los usuarios. Dado que las aplicaciones y “wearables” muchas veces contienen datos sensibles y elaboran perfiles, este punto es especialmente importante ya que puede comportar un peligro para la integridad de los datos de los usuarios.
- Delegado de protección de datos: Si la empresa propietaria de la app o “wearable” trata un gran volumen de datos, deberá tener un delegado de protección de datos e informar de su identidad a los usuarios. Por lo tanto, dentro de la información proporcionada al inicio en la instalación de la app se deberá indicar los datos de contacto del delegado.
En conclusión, dado que tanto las apps como los “wearables” tratan grandes cantidades de datos personales, que en muchas ocasiones son sensibles, pueden suponer un riesgo para la privacidad y la intimidad de las personas. Así pues, los desarrolladores de apps, los responsables que subcontraten los desarrollos y los distribuidores, tienen la responsabilidad proactiva de asegurar que sus productos y servicios cumplen con la protección de los datos.
Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.