El mercado de las app para smartphones ha crecido de forma vertiginosa en los últimos años: en la actualidad los usuarios pueden descargarse millones de aplicaciones, muchas de ellas “gratuitas”. Algunas tienen como objetivo hacer la vida más fácil a sus usuarios mientras que otras, como ha sucedido recientemente, apuestan por entretener y se viralizan a nivel mundial en pocos días.
Pero, ¿es seguro descargar este tipo de aplicaciones? ¿Qué garantías debe ofrecer una compañía cuando desarrolla on comercializa una app? La clave para los usuarios pasa por el conocimiento sobre el valor de sus datos personales y las garantías de privacidad que ofrecen este tipo de aplicaciones. Para las empresas, los mayores desafíos residen en el cumplimiento de la normativa europea, una de las más exigentes en lo que se refiere a la privacidad de los usuarios. Analizamos todas estas cuestiones en cuatro preguntas clave:
“Dado que, en general, el ‘alimento’ de una app son los datos personales del usuario, las empresas que se dedican a su comercialización deben dotarse de políticas de privacidad compatibles con todas las exigencias normativas en esta materia”, afirma Bartolomé Martín, director responsable del Derecho de Nuevas Tecnologías y de Propiedad Intelectual e Industrial de KPMG Abogados. Por tanto, toda app ( su funcionamiento, modelo de monetización, etc) deben cumplir con todos y cada uno de los principios que informan el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés).
Entre estos requisitos, destacan:
Como conclusión, Bartolomé Martín recuerda que “la mejor forma de entender si una app cumple con muchas de estas exigencias es revisar su Aviso de Privacidad”. “Si la información no es clara o es insuficiente y no nos permite entender qué datos y cómo, para qué y por cuánto tiempo se van a tratar, deberíamos replantearnos su descarga y utilización”, subraya.
Como explica Javier Aznar, senior manager del área de Ciberseguridad de KPMG en España, el término que debe regir esta decisión debe ser la proporcionalidad. “Debemos plantearnos si existe una proporcionalidad entre el servicio que nos ofrece una determinada app y la información que nos solicita”, explica. “Los datos personales tienen un gran valor para las compañías, por lo que aunque la aplicación sea gratuita, el beneficio que obtienen de explotar y vender esos datos puede ser mayor que si nos cobraran por descargarla”, indica.
De este modo, el valor de proporcionalidad tendrá mayor o menor importancia para cada usuario de forma individual. “Cada persona es libre de decidir dónde está su límite y qué está dispuesto a ceder por recibir un determinado servicio. Lo importante es que decidamos con conocimiento y siendo conscientes de las consecuencias de nuestra decisión”, sostiene Javier Aznar.
El mayor riesgo pasa por la pérdida de control: el desconocimiento sobre quién accede a los datos prestados para descargar la app, dónde se almacenan y con qué finalidad van a ser utilizados. En este sentido, Javier Aznar recuerda que al analizar las políticas de privacidad “se pueden observar claros ejemplos de falta de información o cesiones de datos a terceros o empresas en el extranjero de las que no se conoce su nombre o a qué se dedican”.
“Lo normal es que estos datos sean utilizados, en el caso de imágenes, para entrenar algoritmos de reconocimiento facial. Otro tipo de datos personales, como los historiales de navegación, pueden llegar a ser cedidos a otras empresas que posteriormente nos ofrezcan anuncios o productos que estimen interesantes para nuestro perfil”, explica el senior manager del área de Ciberseguridad de KPMG en España.
La respuesta de la Unión Europea al desarrollo de nuevas tecnologías ha sido, en palabras de Bartolomé Martín “bastante garantista”. “El GDPR ha incorporado mecanismos de protección, control, seguridad, comunicación y atención a los ciudadanos que, junto con un régimen sancionador más severo, deberían contribuir a generar mayores cotas de seguridad y libertad dentro de la Unión”, afirma.
Como explica, la UE ha optado por un sistema uniforme para todos los estados y de supervisión centralizada que parte de una máxima muy concreta: que la disponibilidad de la información (el acceso a la misma) no habilita per se a su tratamiento. “Es decir, que para poder llevar a cabo cualquier tratamiento de datos será necesario contar con una base legal legítima, es decir, que sea un tratamiento necesario para prestar un servicio, que hayamos pedido permiso al interesado para tratar sus datos, que el tratamiento sea preciso para cumplir con una obligación legal o, por ejemplo, que se persiga un interés comercial legítimo y proporcionado”, indica Bartolomé Martín.
Sobre esta premisa, se ha construido un sistema en el que se vigila con especial atención al tratamiento de aquellos datos que se consideran más sensibles –aquellos que revelan la ideología, convicciones religiosas, orientación sexual, o estado de salud del usuario, etc- y que aplica un enfoque basado en el riesgo. “De este modo, los recursos destinados a proteger nuestra información se adecúen a los riesgos a los que está expuesta y a la capacidad tecnológica y económica de las empresas”, explica Bartolomé Martín.
La regulación europea es seguramente la más exigente del mundo. Y no sólo eso, se está convirtiendo en el estándar internacional aplicable en todos aquellos países democráticos que persiguen un modelo de convivencia que tiene como pilar principal la libertad de los ciudadanos. El tratamiento masivo de los datos a través de la tecnología puede tener objetivos legítimos, como la seguridad o la prosperidad económica, pero también permite la manipulación y restricción de nuestras libertades, por lo que es preciso un régimen regulatorio que garantice un justo equilibrio entre los intereses de las empresas y los derechos de los ciudadanos.
