Un sector interessant en la protecció de dades és el de les apps i els “wearables”. No hi ha dubte que avui en dia, pràcticament tots, fem servir dispositius mòbils, smartphones, tablets, polseres, rellotges intel·ligents, etc. amb les seves apps dinàmiques i fàcils d’instal·lar.
La veritat és que cada any augmenta exponencialment el nombre d’apps disponibles al mercat. El 2017, es van llançar més de 1,5 milions de noves aplicacions per Android (un 17% més que l’any anterior), i 755.000 per a iOS. Moltes d’aquestes apps recullen informació dels usuaris que les instal·len en els seus dispositius, des de la seva adreça de correu electrònic fins al seu estat de salut, passant pels seus contactes o localització. De la mateixa manera, en els últims 5 anys, han proliferat els “wearables” o dispositius que s’incorporen a la nostra indumentària (com rellotges, polseres, ulleres) i que utilitzen sensors avançats per obtenir informació referent a la salut o activitats que realitza el portador.
A part de la seva evident utilitat, les apps i “wearables”, en tractar dades personals, es troben regulats per la normativa d’àmbit europeu i estatal, (especialment RGPD, LOPDGDD), el que determina una sèrie de drets i obligacions, respectivament per a usuaris i propietaris de les apps.
Segons la normativa de protecció de dades, els propietaris de les apps i dels “wearables” són responsables del tractament de les dades recopilades dels usuaris que les utilitzen i, com a tals responsables, han de complir amb una sèrie d’ obligacions.
En particular, han de prestar especial atenció a:
Segons el Grup de Treball 29 sobre la protecció de dades (Guidelines on transparency under Regulation 2016/679), aquesta informació ha de ser donada d’una manera fàcil d’entendre, podent-se utilitzar imatges, vídeos, icones, etc. sempre que això no faci més difícil de veure el text, i de manera que no es faci pesat de llegir. L’aplicació, per tant, podria oferir la informació per capes, amb la informació essencial en una notificació inicial i l’addicional amb un enllaç.
Aquesta legitimació, però, només serveix per les dades que realment siguin necessàries per a l’execució del contracte, de manera que es requerirà el consentiment de l’interessat per tractar altres dades (per exemple, en molts casos es demana el consentiment per obtenir la localització del usuari).
El consentiment haurà de ser donat de forma expressa amb una acció activa, de manera que no hi hagi cap dubte que l’usuari l’ha donat. D’acord amb el Grup de Treball 29, es pot considerar el moviment com a acció afirmativa, per exemple, girar el mòbil en el sentit de les agulles del rellotge o en una figura vuit o agitar els braços davant de la càmera, sempre que s’informi clarament que el moviment en qüestió vol dir proporcionar el consentiment. En canvi, el lliscament cap avall o a través dels termes i condicions quan apareix una declaració a la pantalla per alertar a l’usuari que continuar amb el desplaçament constituirà el consentiment, no es consideraran com una acció clara ja que es tracta d’un tipus de accions habituals i en què es pot perdre l’alerta al desplaçar-se ràpidament pel text.
Un altre punt a tenir en compte és que el consentiment ha de ser donat de forma lliure i sense pressions per a cada categoria de dades que es vagi a tractar. Si l’interessat facilita l’accés a més dades de les necessàries per fer funcionar l’app o “wearable”, s’entendrà que no s’ha prestat de forma lliure.
Tanmateix, l’app ha de tenir les funcionalitats necessàries per donar l’opció a l’interessat de revocar el consentiment en qualsevol moment per a cada categoria de dades que es tracti.
Finalment, és important mencionar el consentiment en cas dels menors d’edat. La normativa estableix que l’edat mínima perquè un nen no necessiti el consentiment dels seus pares és de 14 anys. Cas de ser menor, el tractament només serà lícit si s’obté el consentiment del titular de la pàtria potestat o tutela sobre el nen, i només en la mesura que es va donar o autoritzar. En aquests casos, el responsable de tractament, haurà de fer esforços raonables per verificar que el consentiment va ser donat o autoritzat pel titular de la pàtria potestat o tutela sobre el nen.
Alguna de les mesures que es podrien utilitzar és la protecció de les apps mitjançant un doble enfocament, consistent en la protecció del codi font a través de mètodes d’ofuscació i tècniques de xifrat perquè siguin il·legibles per als hackers que aconsegueixin descompilar-los i la integració de mecanismes d’autoprotecció d’aplicacions en temps d’execució (Raspeig) perquè estiguin protegides de l’anàlisi dinàmic i dels atacs en línia mitjançant la supervisió de la integritat del dispositiu en el qual s’executen.
Tanmateix, depenent del volum de dades tractades, l’empresa responsable del tractament haurà de realitzar una avaluació d’impacte.
En conclusió, donat que tant les apps com els “wearables” tracten grans quantitats de dades personals, que moltes vegades són sensibles, poden suposar un risc per a la privacitat i la intimitat de les persones. Així doncs, els desenvolupadors d’apps, els responsables que subcontractin els desenvolupaments i els distribuïdors, tenen la responsabilitat proactiva d’assegurar que els seus productes i serveis compleixen amb la protecció de les dades.
Campos Catafal porta assessorant i representant a emprenedors, autònoms i empreses des de 1983. Recordeu que el present article és informatiu i no substitueix l’assessorament legal d’un advocat. Si vol el nostre assessorament professional sobre aquest tema, contacti amb nosaltres.
Aquest lloc utilitza cookies i tecnologies similars per oferir-li una navegació a mida i millorar els nostres serveis, així com per finalitats estadístiques. Si continua navegant per aquest lloc, accepta que n'ha estat degudament informat. Més informació
The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.