Un sector interesante en la protección de datos es el de las apps y los wearables. No cabe duda de que hoy en día prácticamente todos usamos dispositivos móviles, smartphones, tabletas, pulseras, relojes inteligentes, etc. con sus apps dinámicas y fáciles de instalar.
Lo cierto es que cada año aumenta exponencialmente el número de apps disponibles en el mercado. En 2017, se lanzaron más de 1,5 millones de nuevas aplicaciones para Android (un 17% más que el año anterior), y 755.000 para iOS, según un estudio realizado por la consultora Appfigures. Muchas de estas apps recogen información de los usuarios que las instalan en sus dispositivos, desde su dirección email hasta su estado de salud, pasando por sus contactos o localización.
Asimismo, en los últimos 5 años, han proliferado los “wearables” o dispositivos que se incorporan a nuestra indumentaria (como relojes, pulseras, gafas) y que utilizan sensores avanzados para obtener información referente a la salud o actividades que realiza el portador.
Aparte de su evidente utilidad, las apps y “wearables”, al tratar datos personales, se encuentran regulados por normativa de ámbito europeo y estatal, (en especial RGPD, LOPDGDD), lo que determina una serie de derechos y obligaciones, respectivamente para usuarios y propietarios de las apps.
Según la normativa de protección de datos, los propietarios de las apps y de los “wearables” son responsables del tratamiento de los datos recopilados de los usuarios que las utilizan y, como tales responsables, tendrán que cumplir con las obligaciones que les vienen impuestas.
En particular, deberán prestar especial atención a:
Según el Grupo de Trabajo 29 sobre la protección de datos (Guidelines on transparency under Regulation 2016/679),esta información deberá ser dada de un modo fácil de entender, pudiéndose utilizar imágenes, videos, iconos, etc. siempre que esto no haga más difícil de ver el texto, y de forma que no se haga pesado de leer. La aplicación, por lo tanto, podría ofrecer la información por capas, con la información esencial en una notificación inicial y la adicional con un enlace.
Esta legitimación, sin embargo, sólo sirve para los datos que realmente sean necesarios para la ejecución del contrato, por lo que se requerirá el consentimiento del interesado para tratar otros datos (por ejemplo, en muchos casos se pide el consentimiento para obtener la localización del usuario).
El consentimiento deberá ser dado de forma expresa con una acción activa, de modo que no exista ninguna duda de que el usuario lo ha dado. De acuerdo con el Grupo de Trabajo 29, se puede considerar el movimiento como acción afirmativa, por ejemplo, girar el móvil en el sentido de las agujas del reloj o en una figura ocho o agitar los brazos frente a la cámara, siempre y cuando se informe claramente de que el movimiento en cuestión significa proporcionar el consentimiento. En cambio, el deslizamiento hacia abajo o a través de los términos y condicionescuando aparece una declaración en la pantalla para alertar al usuario de que continuar con el desplazamiento constituirá el consentimiento, no se considerarán como una acción clara ya que se trata de un tipo de acciones habituales y en que se puede perder la alerta al desplazarse rápidamente por el texto.
Otro punto a tener en cuenta es que el consentimiento debe ser dado de forma libre y sin presiones para cada categoría de datos que se vaya a tratar. Si el interesado facilita el acceso a más datos de los necesarios para hacer funcionar la app o “wearable”, se entenderá que no se ha prestado de forma libre.
Asimismo, la app deberá tener las funcionalidades necesarias para dar la opción al interesado de revocar el consentimiento en cualquier momento para cada categoría de datos que se trate.
Finalmente, es importante mencionar el consentimiento en caso los menores de edad. La normativa establece que la edad mínima para que un niño no necesite el consentimiento de los padres es de 14 años. En caso de ser menor, el tratamiento solamente será lícito si se obtiene el consentimiento del titular de la patria potestad o tutela sobre el niño, y sólo en la medida en que se dio o autorizó. En tales casos, el responsable de tratamiento, deberá hacer esfuerzos razonables para verificar que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño.
Alguna de las medidas que se podrían utilizar es la protección de las apps mediante un doble enfoque, consistente en la protección del código fuente a través de métodos de ofuscación y técnicas de cifrado para que sean ilegibles para los hackers que consigan descompilarlos y la integración de mecanismos de autoprotección de aplicaciones en tiempo de ejecución (RASP) para que estén protegidas del análisis dinámico y de los ataques online mediante la supervisión de la integridad del dispositivo en el que se ejecutan.
Asimismo, dependiendo del volumen de datos tratados, la empresa responsable de tratamiento deberá realizar una evaluación de impacto.
En conclusión, dado que tanto las apps como los “wearables” tratan grandes cantidades de datos personales, que en muchas ocasiones son sensibles, pueden suponer un riesgo para la privacidad y la intimidad de las personas. Así pues, los desarrolladores de apps, los responsables que subcontraten los desarrollos y los distribuidores, tienen la responsabilidad proactiva de asegurar que sus productos y servicios cumplen con la protección de los datos.
Campos Catafal lleva asesorando y representando a emprendedores, autónomos y empresas desde 1983. Recuerde que el presente artículo es informativo y no sustituye el asesoramiento legal de un abogado. Si desea nuestro asesoramiento profesional sobre este tema, contacte con nosotros.