¿Estás desarrollando una App? Espera, no corras tanto, porque antes de ponerte a picar código y diseñar funcionalidades, debes pensar en la legalidad de tu App, concretamente, debes adaptar tu App al RGPD.
Lo obvio: toda App recaba información personal, si esos datos corresponden a residentes europeos, estas App deben necesariamente estar adaptadas al RGPD (ver listado de tutoriales) y cumplir todas sus disposiciones y exigencias.
Pero no es lo que ocurre en todos los casos.
Lo cierto es que si desarrollas una App y no eres consciente del impacto sobre la privacidad que puede tener y la responsabilidad que ese tratamiento exige, lo mismo da que da lo mismo.
Pero sin embargo, no son pocas las app que a fecha de hoy, siguen incumpliendo el RGPD, de hecho. una investigación para la PrivacyCon de la Comisión Federal de Comercio de Estados Unidos (FTC), realizada por un grupo de especialistas en ciberseguridad , descubrieron que 1.325 aplicaciones recopilaban datos de los usuarios a pesar de haberles negado los permisos explícitamente.
Si eres desarrollador, tienes una App propia o están planeando crearla, este post te interesa porque vas a conocer todas las claves de una App legal.
¿Qué datos personales puede recabar una App?
En términos estadísticos generales, aproximadamente:
- El 26% de las aplicaciones utilizan datos de geolocalización
- El 30 % acceden a los contactos del usuario.
- Y un 40 % recopilan información acerca de otras Apps ya instaladas en el dispositivo.
Pero también recaban otro tipo de datos:
- Datos sobre la identidad del usuario y del teléfono,
- Datos biométricos,
- Datos de tarjeta de crédito y datos de pago,
- Datos del teléfonos y SMS,
- Datos sobre historial de navegación,
- Datos sobre correo electrónico y perfiles en redes sociales.
Las premisas legales RGPD a atender ANTES de desarrollar una App
El problema de muchas Apps es que una vez desarrolladas, es cuando se piensa en la privacidad y en el cumplimiento legal.
Error monumental.
El RGPD impone la necesidad de establecer políticas de privacidad desde el diseño y por defecto.
La privacidad debe estar presente desde el inicio del desarrollo cómo un aspecto medular de toda aplicación.
Privacidad desde el diseño (Privacy by Design)
Significa que toda App debe concebirse y desarrollarse partiendo de un enfoque de la privacidad y protección de los datos de los usuarios que van a utilizarla. La privacidad desde el diseño implica la adopción de medidas para garantizar que el tratamiento de datos es conforme a ley.
Por otra parte, el RGPD establece que en aquellos casos en los que sea probable que los tratamientos entrañen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento debe realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad del riesgo.
De hecho, en el listado realizado por la Agencia Española de Protección de datos de tipos de tratamientos que requieren evaluación de impacto sobre la protección de datos están:
«Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y
metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de
servicios de la sociedad de la información como pueden ser los servicios web, TV interactiva, aplicaciones móviles, etc.»
Por tanto, un punto clave de la privacidad desde el diseño. será la realización de una evaluación de impacto relativa a la protección de datos,
Privacidad por defecto (privacy by default)
Este principio debe garantizar el uso proporcionado de los datos personales a la finalidad por la que se recaban.
Esta medida pretende que las app solo recaben y traten los datos personales que sean estrictamente necesarios para cada uno de los fines específicos del tratamiento. Por ejemplo, una app linterna, cuya finalidad es activar la luz del flash de nuestro móvil, no debería requerir otros datos que no sea el acceso a la cámara del terminal, sin embargo, actualmente hay en la Play store no pocas App Linterna que recaban datos de geolocalización, contactos, navegación, etc.
Por esta razón, deberás estar preparado para garantizar que los datos personales que recabes en tu App son adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados en la APP que hayas desarrollado. Cómo desarrollador, debes saber que dentro del principio de minimización y proporcionalidad, en ningún caso podrás requerir permisos que no sean pertinentes y estrictamente necesarios en función de las funcionalidades de la App.
En este contexto de privacidad por defecto, también deberás implantar las medidas técnicas y organizativas apropiadas a fin de demostrar y acreditar debidamente, que los tratamientos que realizan en la Apps son conformes con el RGPD.
Pero también, los desarrolladores deben tener en cuenta:
Los permisos asociados a una App: el consentimiento RGPD
El consentimiento adquiere una nueva dimensión que afecta de forma clara a toda App y que se manifiesta en forma de permisos
Durante el proceso de descarga, se deben pedir una serie de permisos para cada uno de los datos personales a los que la App va a acceder. El usuario deberá conocer y administrar los permisos antes de descargar una App, por supuesto, respetando el principio anterior de privacidad por defecto.
Entre los permisos que deberán incluir los desarrolladores están los siguientes:
- Dispositivo móvil: se debe pedir autorización para que la app pueda leer el estado del teléfono, saber el número, conocer el estado de la red móvil, hacer llamadas, conocer el histórico de las mismas, añadir mensajes de voz, gestionar llamadas e incluso redireccionar a otro número.
- Compras directas desde la aplicación: Este permiso permite a la App proveer productos y cargar pagos a tu cuenta Google Play.
- Almacenamiento o memoria del dispositivo: ya sea almacenamiento externo como la tarjeta SD o almacenamiento interno, se debe pedir al usuario que autorice a que la App lo lea o incluso a que almacene allí archivos.
- Mensaje de texto: el usuario debe permitir a que la aplicación envíe mensajes de texto (SMS, MMS o incluso mensajes tipo Push WAP), lea los mensajes guardados y/o reciba nuevos.
- Eventos en el calendario: se deberá pedir permiso también si la App accede al calendario: permite tanto leer, como editar y crear nuevos eventos en el calendario.
- Cámara: si la app puede tomar fotos, editarlas, enviarlas o grabar vídeos por sí misma , deben requerirse permisos específicos,
- Contactos: Si la app permite consultar la lista de contactos, editarla, añadir nuevos contactos, etc., debe requerir permiso.
- GPS o geolocalización WiFi: si la aApp accede a nuestra, bien a través de GPS, bien a través de las antenas móviles o el WiFi, debe requerir permiso necesariamente para acceder a esta información.
- Micrófono: si la app accede al micro y a la posibilidad de que se graben conversaciones telefónicas, debe requerir permiso.
- Sensores corporales: estos permisos están ligados al uso de dispositivos como las pulseras de actividad. Con ello se facilitan datos sobre nuestra salud, es decir, datos especialmente protegidos, y por supuesto, la App debe requerir permiso para acceder a estos datos.
En cualquier caso, para estos permisos sean válidos, deberán cumplir una serie de requisitos.
El consentimiento: requisitos para una App RGPD
El consentimiento en una App es vital para su funcionamiento y supervivencia, de cómo se obtenga, almacene y acredite depende que esa App tenga una oportunidad o no, es impensable pensar en una App RGPD sin considerar en los permisos que debe requerir y como requerirlos de forma adecuada.
Para que este consentimiento sea válido, debe cumplir una serie de requisitos:
- Informado: para que sea válido, el consentimiento debe estar ligado a la información que se suministre al usuario de forma previa a la descarga de la App. Toda App debe informar al usuario acerca de la finalidad del tratamiento, el nombre del responsable del tratamiento, cómo van a ser tratados los datos y los derechos que tienen los usuarios sobre su propia información personal. Esta información debería suministrarse al usuario mediante capas: una primera capa de información básica que remita a una segunda con información más completa.
- Libre: No puede prestarse bajo ningún tipo de coacción ni tampoco puede condicionarse por ejemplo, no se podría negar la descarga de una App si no acepta determinados permisos o términos, por tanto, el consentimiento no puede estar condicionado a la prestación del servicio si este no es necesario.
- Específico: No serían válidos los consentimientos generales, el consentimiento debe estar ligado a una finalidad concreta y eso obliga a requerir diversos permisos para diferentes finalidades.
- Inequívoco: El consentimiento inequívoco es aquel que se ha prestado mediante una clara manifestación del interesado o a través de una clara acción afirmativa. No serían válidos por tanto, las formas de consentimiento tácito o por omisión, ya que se basan en la inacción del usuario. En una App, el usuario debe marcar determinados checkbox para que puedan ser utilizados sus datos en una App.
Por tanto, la forma correcta de recabar el consentimiento sería mediante casillas de verificación o check box granulares previas a la descarga que eviten la utilización de datos de los usuarios por parte de la App sin el conocimiento de éstos.
Resumiendo: toda App RGPD que quiera acceder a una determinada función o carpeta debe solicitar permiso previo para acceder a esa función, si el usuario no da su consentimiento, la App no podría acceder a esa función, en caso de que ese acceso sea esencial para el funcionamiento de una App, esto deberá ser advertido al usuario también.
Que informar en la política de privacidad en una App RGPD
Un aspecto clave en la adaptación de una App es la transparencia informativa, esto es, la capacidad de transmitir al usuario, de forma clara, directa y comprensible, cómo la utilización de esa app afecta a la privacidad del usuario.
Concretamente, el responsable de la App deberá suministrar al usuario de forma inteligible y fácilmente accesible información sobre:
- Su identidad completa y datos de contacto
- Qué categorías de datos de carácter personal recogen y procesan,
- Finalidades del tratamiento de esa información
- Destinatarios de la información recogida por la App
- Plazos de conservación
- Derechos de los usuarios: información sobre el ejercicio de sus derechos y medio a través del cual pueden ejercerlos.
- Tratamiento de datos de menores y servicios de localización.
- En caso de que sean cedidos a terceros, una específica descripción acerca de a quién van a ser cedidos y los derechos de los usuarios, en lo referido a la revocación del consentimiento y la supresión de datos.
Control de las brechas de seguridad en una App
Una de las obligaciones del RGPD es la obligatoriedad de notificar las incidencias, brechas o fugas de seguridad que impliquen una violación de datos personales, tanto a las Autoridades de Control como a los usuarios o afectados y esto incluye por supuesto, a las brechas de seguridad que se puedan originar en una APP.
La misma debe hacerse sin demora injustificada y, a más tardar, 72 horas después de que haya tenido constancia de ella.
En el caso de una App, utilizar el cifrado de la información personal elimina la obligación de notificar a los afectados que ha tenido lugar una brecha de seguridad en la que se han visto expuestos sus datos personales, ya el cifrado o la anonimización eliminan el riesgo de exposición de información personal.
Toda App deberá además contar además con mecanismos que permitan documentar adecuadamente este tipo de incidencias, notificarlas en el plazo establecido a la Autoridad de Control y a los afectados en caso de que proceda.
Las Apps y el tratamiento de datos de menores de edad
Lo primero, desarrollar una App RGPD implica a analizar la edad mínima de los usuarios que pueden descargarla y crear mecanismos que impidan a los menores, descarga de aplicaciones que son adecuadas para su edad o que requieren el consentimiento específico de sus padres o tutores legales.
En caso de que se trate de aplicaciones dirigidas a los niños, se deben cumplir una serie de requisitos:
- Atender a los límites de minoría de edad fijados por las leyes nacionales,
- Elegir el método más restrictivo para el procesamiento de datos, con total respeto a los principios de minimización de datos y restricción de la finalidad
- No utilizar en ningún caso la información de menores con fines comerciales
- Abstenerse de conseguir información a través de los niños sobre sus familiares y/o amigos.
¿Cumplen las Apps con el RGPD?
Varios informes indican que el 55 % de las Apps incumplen la normativa en materia de protección de datos.
La seguridad de nuestros datos, como usuarios, debe ser una prioridad en una App, teniendo en cuenta que acceden a gran cantidad de información que afecta directamente sobre nuestra privacidad y nuestra seguridad. No es un tema baladí ¿a que no?
La protección de datos debe convivir necesariamente con la sociedad de la información y estar adaptada a sus avances y transformaciones. Si no empezamos a asumir responsabilidades con la privacidad de nuestros usuarios, la propia selección natural hará que solo sobrevivan sólo las App que mejor se adapten.
¿Tienes una App? Cuéntame que tal te va con la legalidad.
¿Necesitas plantillas para adaptar tu web, blog o e-commerce? no te vayas, elige el Kit que mejor se adapte a tu web y hazte 100%legal.
