Un sector interessant en la protecció de dades és el de les apps i els “wearables”. No hi ha dubte que avui en dia, pràcticament tots, fem servir dispositius mòbils, smartphones, tablets, polseres, rellotges intel·ligents, etc. amb les seves apps dinàmiques i fàcils d’instal·lar.

La veritat és que cada any augmenta exponencialment el nombre d’apps disponibles al mercat. El 2017, es van llançar més de 1,5 milions de noves aplicacions per Android (un 17% més que l’any anterior), i 755.000 per a iOS. Moltes d’aquestes apps recullen informació dels usuaris que les instal·len en els seus dispositius, des de la seva adreça de correu electrònic fins al seu estat de salut, passant pels seus contactes o localització. De la mateixa manera, en els últims 5 anys, han proliferat els “wearables” o dispositius que s’incorporen a la nostra indumentària (com rellotges, polseres, ulleres) i que utilitzen sensors avançats per obtenir informació referent a la salut o activitats que realitza el portador.

A part de la seva evident utilitat, les apps i “wearables”, en tractar dades personals, es troben regulats per la normativa d’àmbit europeu i estatal, (especialment RGPD, LOPDGDD), el que determina una sèrie de drets i obligacions, respectivament per a usuaris i propietaris de les apps.

En particular, han de prestar especial atenció a:

• Informació a l’usuari: El propietari de l’app o “wearable” ha d’informar a l’usuari clara i específicament del tractament que es realitzarà a les seves dades de manera que aquest pugui prendre una decisió informada en utilitzar l’aplicació. S’ha de facilitar la següent informació:
  • La identitat i les dades de contacte de l’empresa propietària de l’app o “wearable”.
  • Les dades de contacte del delegat de protecció de dades, cas de tenir-lo.
  • La finalitat del tractament de les dades personals i la seva base jurídica.
  • Els destinataris o les categories de destinataris de les dades personals.
  • La intenció del responsable de transferir dades personals a un tercer país o organització internacional i l’existència o absència d’una decisió d’adequació de la Comissió o una referència a les garanties adequades o apropiades i als mitjans per obtenir una còpia d’aquestes.
  • El termini de conservació de les dades personals o, quan no sigui possible, els criteris utilitzats per determinar aquest termini.
  • Els drets de la persona interessada d’accés, rectificació, supressió, limitació, oposició i portabilitat de les dades.
  • El dret a retirar el consentiment en qualsevol moment.
  • El dret a presentar una reclamació davant d’una autoritat de control.
  • Si la comunicació de dades personals és un requisit legal o contractual, o un requisit necessari per a subscriure un contracte, i si l’interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències de no facilitar aquestes dades.
  • L’existència de decisions automatitzes, inclosa l’elaboració de perfils i la informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d’aquest tractament per a l’interessat.
  • Cas que es pretengui realitzar un tractament ulterior de dades personals per a un fi que no sigui aquell per al qual es van recollir, es proporcionarà a l’interessat, amb anterioritat a aquest tractament ulterior, informació sobre aquesta altre finalitat a més de qualsevol informació addicional pertinent.

Segons el Grup de Treball 29 sobre la protecció de dades (Guidelines on transparency under Regulation 2016/679), aquesta informació ha de ser donada d’una manera fàcil d’entendre, podent-se utilitzar imatges, vídeos, icones, etc. sempre que això no faci més difícil de veure el text, i de manera que no es faci pesat de llegir. L’aplicació, per tant, podria oferir la informació per capes, amb la informació essencial en una notificació inicial i l’addicional amb un enllaç.

• Legitimació del tractament: De forma general, la legitimació del tractament en les apps i els wearables és el compliment d’un contracte. És a dir, es tracten les dades per a poder oferir el servei. Per exemple, l’app de Fitbit tracta les dades de salut per poder informar els seus usuaris del seu ritme cardíac, distància recorreguda, etc.

Aquesta legitimació, però, només serveix per les dades que realment siguin necessàries per a l’execució del contracte, de manera que es requerirà el consentiment de l’interessat per tractar altres dades (per exemple, en molts casos es demana el consentiment per obtenir la localització del usuari).

El consentiment haurà de ser donat de forma expressa amb una acció activa, de manera que no hi hagi cap dubte que l’usuari l’ha donat. D’acord amb el Grup de Treball 29, es pot considerar el moviment com a acció afirmativa, per exemple, girar el mòbil en el sentit de les agulles del rellotge o en una figura vuit o agitar els braços davant de la càmera, sempre que s’informi clarament que el moviment en qüestió vol dir proporcionar el consentiment. En canvi, el lliscament cap avall o a través dels termes i condicions quan apareix una declaració a la pantalla per alertar a l’usuari que continuar amb el desplaçament constituirà el consentiment, no es consideraran com una acció clara ja que es tracta d’un tipus de accions habituals i en què es pot perdre l’alerta al desplaçar-se ràpidament pel text.

Un altre punt a tenir en compte és que el consentiment ha de ser donat de forma lliure i sense pressions per a cada categoria de dades que es vagi a tractar. Si l’interessat facilita l’accés a més dades de les necessàries per fer funcionar l’app o “wearable”, s’entendrà que no s’ha prestat de forma lliure.

Tanmateix, l’app ha de tenir les funcionalitats necessàries per donar l’opció a l’interessat de revocar el consentiment en qualsevol moment per a cada categoria de dades que es tracti.

Finalment, és important mencionar el consentiment en cas dels menors d’edat. La normativa estableix que l’edat mínima perquè un nen no necessiti el consentiment dels seus pares és de 14 anys. Cas de ser menor, el tractament només serà lícit si s’obté el consentiment del titular de la pàtria potestat o tutela sobre el nen, i només en la mesura que es va donar o autoritzar. En aquests casos, el responsable de tractament, haurà de fer esforços raonables per verificar que el consentiment va ser donat o autoritzat pel titular de la pàtria potestat o tutela sobre el nen.

• Protecció de dades des del disseny i per defecte: Els propietaris de les apps hauran de tenir en compte la privacitat durant tot el procés de desenvolupament dels sistemes o processos que utilitzin dades personals i aplicar les mesures tècniques i organitzatives de seguretat d’acord amb els riscos que puguin sorgir (destrucció accidental o deliberada, pèrdua, modificació i divulgació o accés no autoritzat a dades personals, transmesos o emmagatzemats) de manera que la seguretat de les dades estigui garantida.

Alguna de les mesures que es podrien utilitzar és la protecció de les apps mitjançant un doble enfocament, consistent en la protecció del codi font a través de mètodes d’ofuscació i tècniques de xifrat perquè siguin il·legibles per als hackers que aconsegueixin descompilar-los i la integració de mecanismes d’autoprotecció d’aplicacions en temps d’execució (Raspeig) perquè estiguin protegides de l’anàlisi dinàmic i dels atacs en línia mitjançant la supervisió de la integritat del dispositiu en el qual s’executen.

Tanmateix, depenent del volum de dades tractades, l’empresa responsable del tractament haurà de realitzar una avaluació d’impacte.

• Actuació en cas de bretxes de seguretat: Els responsables del tractament hauran de tenir uns protocols d’actuació en cas de bretxes de seguretat, en particular pel que fa a la notificació d’incidents a l’autoritat de control i als interessats. El delegat de protecció de dades haurà d’avaluar i documentar l’incompliment i les mesures i considerar si és exigible informar l’autoritat competent i als usuaris. Atès que les aplicacions i “wearables” moltes vegades contenen dades sensibles i elaboren perfils, aquest punt és especialment important, ja que pot comportar un perill per a la integritat de les dades dels usuaris.

• Delegat de protecció de dades: Si l’empresa propietària de l’app o “wearable” tracta un gran volum de dades, haurà de tenir un delegat de protecció de dades i informar de la seva identitat als usuaris. Per tant, dins de la informació proporcionada a l’inici en la instal·lació de l’app s’haurà d’indicar les dades de contacte del delegat.

En conclusió, donat que tant les apps com els “wearables” tracten grans quantitats de dades personals, que moltes vegades són sensibles, poden suposar un risc per a la privacitat i la intimitat de les persones. Així doncs, els desenvolupadors d’apps, els responsables que subcontractin els desenvolupaments i els distribuïdors, tenen la responsabilitat proactiva d’assegurar que els seus productes i serveis compleixen amb la protecció de les dades.

Campos Catafal porta assessorant i representant a emprenedors, autònoms i empreses des de 1983. Recordeu que el present article és informatiu i no substitueix l’assessorament legal d’un advocat. Si vol el nostre assessorament professional sobre aquest tema, contacti amb nosaltres.