Skip to content

Aspectos a tener en cuenta en la adecuación legal de aplicaciones móviles

En los últimos años ha crecido exponencialmente el desarrollo de aplicaciones para dispositivos inteligentes como tabletas, teléfonos móviles o televisiones conectados a Internet. Son programas orientados a un servicio o grupo de servicios específicos, de navegación, comunicación, ocio, redes sociales, bancarios, de localización, sanitarios, etc.

Este crecimiento se debe en parte a la generalización de la cultura Startup, empresas basadas en entorno tecnológico, que funcionan a través de Internet o las TICS, y con un modelo de negocio escalable.

Los dispositivos inteligentes de los usuarios de redes de comunicaciones electrónicas, así como toda la información almacenada en dichos soportes, forman parte de la esfera privada de los usuarios que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

Estas aplicaciones pueden recabar y tratar una gran cantidad de datos personales, necesarios o no para su funcionamiento. Es por ello que se vuelve imprescindible adoptar una postura de privacidad desde el diseño y por defecto en el desarrollo de las mismas, implantando medidas técnicas de seguridad, organizativas y de minimización de los datos a recabar. Es importante considerar únicamente los datos necesarios para los fines previstos de la APP.

Los desarrolladores serán considerados responsables de tratamiento, en la medida que son quiénes deben permitir que la aplicación pueda respetar todos los principios de protección de datos.

¿Cómo se recaban los datos?

Mediante mecanismos de recopilación de datos, API, cookies y otras tecnologías que permiten el acceso a datos almacenados en el dispositivo, datos de ubicación y datos obtenidos mediante sensores.

Los datos generados por el uso de la App pueden tener varios orígenes:

  • el dispositivo (por el sistema operativo, por el fabricante o por el proveedor de telefonía IP),
  • el usuario mediante el uso de APPS (contactos, fotografías,…),
  • datos internos de otras APPS (historial de navegación, caché,…)
  • además datos que el usuario facilita directamente (registro).

Se pueden obtener permisos para acceder e interactuar con diversos datos de los dispositivos: llamadas, correo electrónico, mensajería, archivos (audio, foto, documentos,…), consultar la identidad del teléfono (IIEM, IIAM, IUD, número), identidad del usuario, datos de tarjetas y pagos, sistema del dispositivo (impidiendo por ejemplo su entrada en suspensión), navegación (historial, contraseñas, otros servicios de la sociedad de la información,…),  datos biométricos.

Los sensores de los dispositivos permiten obtener datos de geolocalización. Otros sensores presentes en los dispsitivos son el giroscopio, la brújula numérica, el acelerómetro, las cámaras fotográficas delantera y trasera, el micrófono o los sensores de proximidad.

Los dispositivos pueden además establecer conexiones con otros dispositivos mediante wifi, bluetooth, Ethernet o NFC, generando así una serie de datos de conectividad.

¿Cómo protegemos legalmente nuestra APP?

Nuestra Startup o el desarrollador de aplicaciones se verán sometidos a la Ley Orgánica de Protección de Datos y a la LSSI y deberá realizar una evaluación de impacto con la entrada en vigor del Reglamento General de Protección de Datos.

A continuación vamos a exponer los principales aspectos que debe considerar una aplicación en cuanto a privacidad.

Se debe cumplir con el deber de información y consentimiento en los casos previstos

El deber de información requiere de una política de privacidad que sea aceptada por el usuario, debe estar bien definida y ser comprensible para un usuario medio sin conocimientos jurídicos o técnicos especiales.

En el momento de solicitar la descarga, las tiendas de Apps han desarrollado un mecanismo de inclusión de consentimiento específico de permisos.Se debe solicitar específicamente el consentimiento para acceder a los siguientes datos:

  • Localización, contactos, identificador único del dispositivo, identidad del interesado, identidad del teléfono, datos de la tarjeta de crédito y de pago, historial de telefonía y SMS, historial de navegación, correo electrónico, credenciales de redes sociales y biometría. Indicando la finalidad de cada uno.
  • Si se realizan actualizaciones de la APP se deberá informar y recabar de nuevo el consentimiento si se amplían los permisos o modifican los datos a recabar.

Hay que tener en cuenta si se van a realizar envíos comerciales a los usuarios, o se van a ceder sus datos a terceros.

El usuario debe poder revocar el consentimiento en cualquier momento. Es por ello que puede ser recomendable la implantación de un mecanismo sencillo incluido en la APP que permita eliminar la cuenta y con ello todos los datos personales.

Los datos se conservarán mientras la APP esté instalada y hasta la eliminación de la cuenta o la finalización de la utilización. Se conservarán no obstante el tiempo fijado por otras disposiciones legales. Si la APP no se utiliza durante un plazo prolongado, se debería fijar un periodo de inactividad tras el cual los datos se eliminen previo aviso al usuario.

El responsable legal de la aplicación debe estar identificado permanentemente.

Se deben tener en cuenta las relaciones con terceros que participen en el funcionamiento o accedan a datos recabados por la APP con el objetivo de regular dicho tratamiento de datos.

  • Análisis dentro de la APP (marketing, etc.)
  • Cesión de datos (publicidad)
  • Mailing
  • Hosting
  • Copias de seguridad

Cuando estos encargados de tratamiento no están situados en la Unión Europea, nos encontramos ante una transferencia internacional de datos de carácter personal que deberemos regular.

Otras recomendaciones

Si nuestra aplicación tiene carácter de red social, establecer perfiles privados por defecto.

Especial consideración a los menores a la hora de recabar datos. Se recomienda establecer limitación de edad.

No será necesario recoger consentimiento para cesión a terceros pensando en una venta futura de los datos, si esta se hace en conjunto con toda la SL, dentro de los supuestos contemplado en el art. 19 del RLOPD.

Se debe tener en cuenta la obligación establecida reglamentariamente de incluir en la descripción técnica de los productos de software “el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo a los establecido en el titulo VIII de este reglamento”.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s