Recomendaciones sobre Protección de Datos para desarrolladores de apps (2/2)

por

publicado el 21 marzo 2013

Categorías: Abogados LOPD / Derechos Fundamentales / Intimidad / Protección de Datos / Tecnología / Unión Europea

Como indicamos en la anterior entrada, el Grupo de Trabajo del Artículo 29 adoptó una Opinión en la que se daban una serie de recomendaciones a fabricantes de dispositivos, desarrolladores de apps, App Stores y terceros. Nos centraremos en aquellas que se destinan a los desarrolladores de apps.

El Grupo de Trabajo considera que los desarrolladores de apps deben:

  • Ser conscientes y cumplir con las obligaciones que tienen como responsables del tratamiento cuando procesan datos de los usuarios;
  • Ser conscientes y cumplir con las obligaciones que tienen como responsables del tratamiento cuando contratan con encargados del tratamiento y cuando externalizan la recogida y procesamiento de datos de carácter personal a desarrolladores, programadores y por ejemplo, a proveedores de servicios en la nube;
  • Pedir consentimiento antes de que la app comience a recoger o almacenar información en el dispositivo. Consentimiento que ha de ser libre, específico e informado;
  • Pedir consentimiento específico para cada tipo de dato de carácter personal al que la app va a acceder, al menos para la localización, contactos, UDID, identidad del sujeto, identidad del teléfono, tarjeta de crédito y datos de pago, telefonía y SMS, historial de navegación, email, redes sociales y datos biométricos;
  • Ser conscientes de que el consentimiento no legitima un excesivo y desproporcionado procesamiento de los datos.
  • Facilitar de una forma comprensible y bien definida la finalidad para la que serán procesados los datos antes de la instalación de la app, y no cambiar dichas finalidades sin que se preste nuevamente el consentimiento; facilitar información comprensible sobre si los datos serán usados por terceros (publicidad o analytics).
  • Permitir a los usuarios revocar su consentimiento y desinstalar la app, así como la eliminación de los datos.
  • Tomar las medidas organizativas y técnicas necesarias para asegurar la protección de los datos de carácter personal procesados, en todas y cada una de las fases del diseño y la implementación de la app (privacy by design).
  • Facilitar un único punto de contacto para los usuarios de la app.
  • Facilitar una inteligible, comprensible y fácilmente accesible política de privacidad, que informe a los usuarios como mínimo sobre:
    • Quiénes son (detalles de identidad y contacto).
    • Qué precisas categorías de datos de carácter personal recaban y procesan.
    • Por qué es necesario el procesamiento de datos (para qué finalidades concretas).
    • En caso de que sea cedida a terceros, una específica descripción acerca de a quién van a ser cedidos).
    • Los derechos de los usuarios, en lo referido a la revocación del consentimiento y la eliminación de datos.
  • Permitir que los usuarios puedan ejercitar sus derechos de acceso, rectificación, oposición y cancelación del procesamiento de datos e informarles acerca de la existencia de estos mecanismos.
  • Definir un razonable periodo de retención de los datos y predefinir un periodo de inactividad tras el cual la cuenta será tratada como expirada.
  • En relación a las apps destinadas a los niños: prestar atención a los límites de minoría de edad establecidos por las leyes nacionales, escoger el enfoque más restrictivo en cuanto al procesamiento de datos, con total respeto a los principios de minimización de datos y limitación de la finalidad, abstenerse de hacer uso de la información con fines comerciales y abstenerse de obtener información a través de los niños sobre sus familiares y/o amigos.

El Grupo de Trabajo, recomienda a los desarrolladores de aplicaciones que:

  • Estudien las directrices relevantes en lo relativo a los riesgos y medidas de seguridad;
  • Informen de forma proactiva a los usuarios acerca de las infracciones de protección de datos que se recogen a lo largo de la Directiva de ePrivacidad;
  • Informen a los usuarios acerca de los tipos de datos a los que se accede, los periodos de retención de los datos y las medidas de seguridad aplicadas;
  • Desarrollen herramientas que permitan a los usuarios modificar los periodos de retención de sus datos personales basados en sus específicas preferencias y contextos, en vez de ofrecerles periodos de retención predefinidos;
  • Incluyan en sus políticas de privacidad, información dedicada a los usuarios europeos;

En muchas ocasiones, la gratuidad de los servicios conlleva la inobservancia de muchas de las recomendaciones que el Grupo de Trabajo señala en la presente Opinión y se generan auténticos riesgos para el derecho a la intimidad de los usuarios; por tanto, a mi juicio, es recomendable que los desarrolladores de apps incluyan la privacidad como valor fundamental en su modelo de negocio y que se instauren mecanismos sencillos e intuitivos que permitan al usuario saber a dónde van a parar sus datos y si se respetan o no sus derechos; además, creo que es imprescindible que los usuarios sean conscientes de que merece pagar una pequeña cuota por la app a cambio de que se respeten sus derechos, ya que como dice nuestro compañero Jorge Campanillas «si no pagas un servicio, puede que tú seas el producto».