L’objectiu d’aquest article és aclarir el marc jurídic aplicable al tractament de dades personals en l’ús d’aplicacions mòbils. Cal tenir en compte que, en el desenvolupament i distribució d’una aplicació mòbil intervenen diferents actors amb diferents responsabilitats (App developers o programadors de l’aplicació mòbil, les App Stores o botigues de distribució d’aplicacions, plataformes que ofereixen suport tècnic, publicitat o altres serveis, etc.) La majoria de les conclusions i recomanacions d’aquest article estan dirigides als programadors d’aplicacions mòbils.

Les aplicacions i dispositius mòbils actuals plantegen nous reptes per a la privacitat donat que, estan permanentment actius i tractant dades, les 24 hores del dia i 365 dies l’any. Els principals riscos de protecció de dades que plantegen les aplicacions mòbils són la manca de transparència, és a dir, la manca de coneixement del tipus de dades que tracten, de les finalitats del tractament o destinataris de la informació, la falta de consentiment dels usuaris finals i les mesures de seguretat que apliquen.

Un estudi de 19 de desembre 2013 de l’ICO (Information Comissioner’s Office), Autoritat de Protecció de dades del Regne Unit, estableix que el 62% de les persones que es descarreguen una aplicació mòbil els preocupa la forma en que s’utilitzen les seves dades i que un 49% d’usuaris decideixen no descarregar-se alguna aplicació per aquest motiu.

D’altre banda, el 10 setembre 2014 la Global Privacy Enforcement Network, la Xarxa Global de Control de la Privacitat va realitzar un informe amb la participació de 26 autoritats de protecció de dades de tot el món (incloent l’Agència Espanyola de Protecció de Dades) per tal d’avaluar el compliment de les lleis de protecció de dades de 1211 aplicacions mòbils de plataformes Apple i Android gratuïtes i de pagament. Les conclusions varen ser les següents:

• 75% de les Apps demanen un o més permisos, per poder accedir a dades de localització, d’identificació del dispositiu, a la càmera o contactes.

• 59% de les Apps ofereixen escassa informació abans de la seva descàrrega sobre les dades personals que recopilen i perquè les fan servir.

• 31% de les Apps analitzades sol·licitaven permisos excessius, en relació a les funcions que oferia.

• 43% de les Apps no havien adaptat les clàusules de privacitat a la petita pantalla amb un llenguatge sintètic i un sistema responsiu.

• Només el 15% de les Apps proporcionaven informació clara de com recollien, utilitzaven i divulgaven la informació personal dels usuaris.

 

Però quina és la normativa de privacitat que s’aplica als desenvolupadors d’Apps?

La normativa bàsica aplicable és la següent:

La Directiva 95/46/CE de protecció de dades que, a nivell d’Espanya correspon a la Llei Orgànica 15/1999, 13 desembre de Protecció de dades de caràcter personal i al seu reglament de desenvolupament.

La Directiva 2002/58/CE sobre privacitat i comunicacions electròniques i la Directiva 2009/136 /CE que, a nivell d’Espanya s’han transposat a la Llei 34/2002, 11 juliol de serveis de la societat de la informació i del correu electrònic i la Llei 9/2014, 9 Maig, General de Telecomunicacions.

 

I quins requisits han de complir?

L’informe de 27 de Febrer 2013 elaborat pel grup de treball la Comissió Europea en matèria de privacitat (Grup de Treball de l’article 29), Opinion 02/2003 on apps on smart devices (WP 202) aclareix el marc jurídic aplicable al tractament de dades personals realitzats a través de les Apps en dispositius intel·ligents i estableix un sèrie de recomanacions i bones pràctiques, entre les quals destaquen:

I.- Informar els usuaris que qui són (identitat i detalls de contacte).

II.- Cada App ha de tenir una política de privacitat comprensible i fàcilment accessible de forma permanent i amb caràcter previ a la seva descàrrega. La informació es pot proporcionar per capes, facilitant una primera informació bàsica i donant la possibilitat d’accedir a més detall en una segona capa. També és recomanable que sigui visual (amb icones, imatges o vídeos que ajudin a la seva comprensió).

III.- Utilitzar un llenguatge clar i senzill sobre el tipus de dades tractades, finalitats, destinataris de la informació i com poden exercir els seus drets d’accés, rectificació, cancel·lació i oposició. És recomanable que l’exercici d’aquests drets es pugui realitzar amb eines disponibles dins la mateixa App o en un enllaç a una funció en línia, de forma fàcil i gratuïta.

IV.- Considerar la protecció de dades i la privacitat des del principi del procés del disseny. És a dir, Privacy by Design. Això inclou establir mecanismes per sol·licitar el consentiment abans del tractament de dades, de control d’accés, conservació limitada, aplicar controls per evitar que les dades siguin compromeses involuntàriament, etc.

V.- Aplicar una atenció especial als mètodes d’identificació i autenticació de l’usuari. La realització d’una prova de solidesa de seguretat de les contrasenyes sempre és recomanable.

VI.- Diferenciar clarament la informació obligatòria de la opcional.

VII.- Necessitat de sol·licitar el consentiment: la norma general és sol·licitar el consentiment abans d’instal·lar l’App, facilitant accés a la política de privacitat corresponent. Cal tenir en compte que, el consentiment no legitima el tractament de dades excessives o desproporcionades. També cal sol·licitar el consentiment per al tractament de dades i per accedir a dades de localització o identificació del dispositiu mòbil, a l’agenda de contactes, fotografies o a altres dades.

VIII.- En el cas de facilitar l’accés a dades sensibles, com de salut, creences polítiques, sexuals, raça, etc., cal establir un control d’accés robust per tal de garantir que només el propi usuari o persones estrictament autoritzades disposen d’accés a les seves dades. Sempre caldrà el consentiment exprés i informat per tal de poder tractar aquest tipus de dades, sent necessari aplicar sistemes d’encriptació apropiats.

IX.- Els desenvolupadors d’Apps fora d’Europa també han d’incloure informació a la seva política de privacitat dedicada als usuaris europeus (com compleixen amb la normativa europea, possibles transferències de dades personals des d’Europa als EEUU, etc.).

X.- Tenir en compte el període raonable de conservació de les dades. Com a norma general cal conservar les dades durant el temps que sigui estrictament necessari pel compliment de la finalitat que va motivar la seva recollida. Per tant, cal establir períodes de conservació i donar la oportunitat a l’usuari de que pugui eliminar les seves dades fàcilment. També convé garantir una eliminació segura i confidencial de les dades.

XI.- Cal aplicar una atenció especial als menors. Considerar l’edat mínima que estableix la normativa perquè els menors d’edat puguin donar consentiment per al tractament de les seves dades personals ja que, pot ser necessari demanar el consentiment als seus pares. No tractar les dades dels menors amb finalitats de publicitat basada en el comportament, ni directa ni indirectament. Tampoc demanar-los informació relativa als seus pares, altres membres de la seva família o referent als seus amics.

XII.- Aplicar el principi de finalitat. La política de privacitat ha d’establir clarament les finalitats del tractament de les dades i destinataris de la informació que, no es podran modificar si no disposem novament del consentiment de cada usuari. Per exemple, si posteriorment decidim tractar les dades amb fins estadístics o de publicitat, ho havíem d’haver anunciat d’entrada, en cas contrari, haurem d’informar de nou i sol·licitar el consentiment de cada usuari per poder utilitzar les seves dades amb aquesta nova finalitat.

XIII.- Adoptar les mesures de seguretat organitzatives i tècniques que siguin necessàries per tal de garantir la protecció de les dades personals en totes les etapes del disseny, implantació, distribució i eliminació de la App. Si és necessari la utilització d’un servei Cloud per al desenvolupament de la App cal seleccionar proveïdors que igualment garanteixen el compliment de la normativa de privacitat i seguretat.
Per tant, des de l’inici del disseny d’una aplicació mòbil cal tenir en compte aquestes qüestions i assessorar-se correctament, no només per complir la normativa de privacitat i confidencialitat sinó també, per la tendència actual dels usuaris d’evitar la descarrega d’aplicacions que no garanteixin la seguretat i privacitat de les seves dades.

Patricia Ayodeji
Advocada (Anglaterra i Espanya) Sòcia fundadora Conditio Iuris SLP

 

 

CONDITIO IURIS es una Societat Professional d’Advocats especialitzats en dret d’empresa i Tecnologies de la Informació y Comunicació a nivell internacional.